Банда вымогателей “Groove” оказалась розыгрышем

В сентябре ряд изданий предупреждал о появлении “Groove“, новой группы вымогателей, которая призывала конкурирующие банды вымогателей объединиться для атак на правительственные интересы США в Интернете. Теперь выясняется, что Groove была большой мистификацией, призванной разыграть фирмы безопасности и журналистов.

“Призыв к братьям по бизнесу!” – гласит сообщение Groove от 22 октября, призывающее к атакам на правительственный сектор США.

Впервые о Groove было объявлено 22 августа на RAMP, новом и довольно эксклюзивном русскоязычном форуме о киберпреступности в даркнете.

“GROOVE – это прежде всего агрессивная финансово мотивированная преступная организация, занимающаяся промышленным шпионажем около двух лет”, – написал администратор RAMP “Orange” в сообщении, предлагая участникам форума принять участие в конкурсе на создание веб-сайта для новой группы. “Давайте проясним, что мы ничего не делаем без причины, поэтому в конце дня именно мы получим наибольшую выгоду от этого конкурса”.

Согласно отчету, опубликованному McAfee, Orange запустил RAMP, чтобы привлечь внимание угрожающих субъектов, связанных с вымогательством выкупа, которые были изгнаны с основных киберпреступных форумов за излишнюю токсичность, или киберпреступников, которые жаловались на то, что их обделяют или вообще обманывают различные партнерские программы по выкупу выкупа.

В отчете говорится, что RAMP был результатом спора между членами банды Babuk ransomware, и что ее члены, вероятно, были связаны с другой группировкой под названием BlackMatter.

[“McAfee с большой долей уверенности считает, что банда Groove является бывшим филиалом или подгруппой банды Babuk, которая готова сотрудничать с другими сторонами, если это приносит ей финансовую выгоду”, – говорится в отчете. “Таким образом, вероятна связь с бандой BlackMatter”.

В первую неделю сентября Groove разместил в своем блоге в даркнете около 500 000 учетных данных для входа в систему клиентов VPN-продуктов Fortinet, имена пользователей и пароли, которые можно было использовать для удаленного подключения к уязвимым системам. Компания Fortinet заявила, что учетные данные были собраны с систем, которые еще не внедрили патч, выпущенный в мае 2019 года.

Некоторые эксперты по безопасности считают, что публикация имен и паролей VPN от Fortinet была направлена на привлечение новых партнеров в Groove. Но более вероятно, что учетные данные были размещены для того, чтобы привлечь внимание исследователей безопасности и журналистов.

Где-то на прошлой неделе блог Groove в даркнете исчез. В сообщении на российском киберпреступном форуме XSS известный кибермошенник под ником “Boriselcin” объяснил, что Groove был не более чем проектом, направленным на то, чтобы испортить жизнь СМИ и индустрии безопасности.

“Для тех, кто не понимает, что происходит: Я создал поддельную Groove Gang и назвал себя бандой”, – написал Boriselcin. Остальная часть сообщения гласила:

“Они съели это, я выкинул 500 тысяч старых учетных данных Fortinet [учетные данные доступа], которые никому не нужны, и они съели это. Я сказал, что собираюсь атаковать правительственный сектор США, и они это съели”. Лишь немногие журналисты поняли, что все это было шоу, подделка и афера! И мое уважение тем, кто это понял. Я даже не знаю, что теперь делать с этим блогом с тонной трафика. Может, продать его? Теперь мне просто нужно начать писать [статью], но я не могу начать ее писать, не проверив все”.

Анализ последних публикаций Борисельцина на тему XSS показывает, что он планировал эту схему в течение нескольких месяцев. 13 сентября Борисельцин написал, что “созрело несколько тем” и что он намерен опубликовать статью о том, как обмануть СМИ и охранные фирмы.

“Манипуляция крупными компаниями по информационной безопасности и СМИ через блог о выкупе”, – написал он. “Так забавно читать Твиттер и новости в эти дни 🙂 Но результат пока отличный. Триггерим директоров компаний по информационной безопасности. Мы трахаем цепочку поставок бюро информационной безопасности”.

Image: @nokae8

За все время своего недолгого существования Groove перечислила лишь несколько жертв в своем блоге о позоре жертв в даркнете, что привело некоторых к выводу, что группа не представляет особой угрозы.

“Я бы не воспринимал этот призыв слишком серьезно”, – написал в Твиттере Каталин Симпану из The Record в ответ на твиты о призыве Groove атаковать правительственные интересы США. “Groove – это актеры низкого уровня с небольшими навыками”.

Обычно, когда киберпреступный форум или предприятие оказываются поддельными или мошенническими, мы узнаем, что все это было спецоперацией федеральных следователей из США и/или других стран. Возможно, главная причина, по которой мы не видим больше таких афер, как у Борисельцина, заключается в том, что в них нет денег.

Но это не значит, что его циничная уловка не служит более важной цели. За последние несколько лет мы видели множество банд, занимающихся распространением программ-выкупов, которые переизобретали себя и проводили ребрендинг, чтобы избежать судебного преследования или экономических санкций. С этой точки зрения, все, что сеет путаницу и отвлекает внимание СМИ и индустрии безопасности от реальных угроз, является чистым плюсом для киберпреступного сообщества.

Том Хоффман, старший вице-президент по разведке компании Flashpoint, говорит, что насмешки над западными СМИ и репортерами – это постоянная составляющая разговоров на ведущих киберпреступных форумах”.

“Мы знаем, что некоторые из них просто хотят причинить боль Западу, поэтому такой троллинг, скорее всего, будет продолжаться”, – сказал Хоффман. Учитывая, какое большое внимание привлек этот проект, я предполагаю, что вскоре мы увидим и других подражателей”.

Компания Intel471, специализирующаяся на киберразведке, заявила, что хотя возможно, что один актер придумал Groove, чтобы потроллить исследователей безопасности и СМИ, они считают более вероятным, что попытка актера создать свою собственную группу программ-вымогателей не удалась, как он планировал

“Важно также помнить, что истинная личность и природа любой банды Ransomware-as-a-Service не всегда ясна, а состав участников или аффилированных лиц этих банд может быть изменчив”, – пишет Intel 471. “Несмотря на это и основываясь на результатах наших исследований из многочисленных источников, которые включают, но не ограничиваются наблюдениями за общей инфраструктурой и виктимологией, мы считаем, что “boriselcin” управлял блогом Groove и форумом RAMP. Этот человек – известный член русскоязычного киберпреступного сообщества, связанный с рядом банд, занимающихся распространением выкупных программ, и в августе он предложил 1000 долларов США за разработку блога Groove для порицания жертв выкупных программ. Мы скептически относимся к заявлениям актера о том, что Groove с самого начала был тщательно продуманной мистификацией, хотя мы не удивимся, если в будущем актер заявит об этом”.

Обновление, 17:56 ET: Включена точка зрения от Intel 471.

Оставьте комментарий