информационная безопасностьИсследователи раскрыли внутреннюю работу программы-вымогателя под руководством Михаила Павловича Матвеева, гражданина России, которому в начале этого года правительство США предъявило обвинения в организации тысяч атак по всему миру.
Матвеев, проживающий сейчас в Санкт-Петербурге, также известный как Wazawaka, m1x, Boriselcin, Uhodiransomwar, Orange и waza, предположительно находился в стране по меньшей мере с июня 2020 года, когда он был арестован. LockBit,Бабук и Hive сыграли ключевую роль в разработке и распространении
Швейцарияинформационная безопасностьфирмы ПРОДАФТ В комплексном анализе, предоставленном The Hacker News, говорится, что "Вазавака и члены его команды продемонстрировали жадность к получению выкупа и пренебрежение этическими ценностями в своих кибер-операциях".
"Использование ими таких тактик, как запугивание утечкой конфиденциальных файлов, нечестное поведение и настаивание на сохранении файлов даже после того, как жертва выполнила требование о выкупе, свидетельствует о моральном вакууме, который преобладает в поведении традиционных банд вымогателей".
Выводы ПРОДАФТ были сделаны на основе перехвата тысяч журналов коммуникаций между различными участниками угроз в период с апреля по декабрь 2023 года, связанных с различными вариантами ransomware.
Как сообщается, Матаввеев руководил командой из шести тестеров проникновения - 777, bobr.kurwa, krbtgt, shokoladniy_zayac, WhyNot и dushnila - для осуществления атаки. Организация имеет плоскую организационную структуру, что способствует лучшему сотрудничеству между ее членами.
PRODAFT говорит: "Каждый участник вносит ресурсы и опыт по мере необходимости, демонстрируя удивительную гибкость и способность адаптироваться к новым сценариям и ситуациям".
Помимо того, что Матвеев является партнером Conti, LockBit, Hive, Monti, Trigona и NoEscape, он также взял на себя руководящую роль в банде Babuk ransomware до начала 2022 года, разделяя при этом так называемые "сложные отношения" с другим участником по имени Дудка, который может быть разработчиком Babuk и Monti. "Дудка может быть разработчиком Babuk и Monti.
Атака, предпринятая Матвеевым и его командой, включала в себя использование Зооминфо и Censys,Шодан и FOFA Такие службы, как VPN-сервис, собирают информацию о своих жертвах, используют известные уязвимости в системе безопасности и прокси-серверы начального доступа, чтобы закрепиться, а также применяют набор специализированных и готовых инструментов для взлома VPN-аккаунтов, повышения привилегий и оптимизации своих атакующих кампаний.
Компания заявила: "Получив первоначальный доступ, Вазавака и его команда в основном использовали PowerShell команды для выполнения предпочитаемого ими инструмента удаленного мониторинга и управления (RMM). Особо следует отметить, что MeshCentral является уникальным набором инструментов для команды и часто используется в качестве предпочтительного программного обеспечения с открытым исходным кодом для различных операций".
В ходе анализа ПРОДАФТ были обнаружены связи между Матвеевым и Евгением Михайловичем Богачевым, гражданином России, связанным с ботнетом GameOver Zeus, ликвидированным в 2014 году, а также с разработкой Evil Corp.
Примечательно, что в 2021 году операция Babuk ransomware была переименована в PayloadBIN. Последняя была связана с Evil Corp в очевидной попытке обойти санкции, наложенные на нее Соединенными Штатами в декабре 2019 года.
PRODAFT утверждает: "Эта технологическая связь, в сочетании с известными отношениями между Wazawaka и известным киберпреступником Богачевым, предполагает более глубокую связь между операциями Wazawaka, Богачева и Evil Corp".
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://www.cncso.com/ru/how-a-russian-hacker-built-a-ransomware-empire.html.
