На прошлой неделе внимание специалистов по информационной безопасности привлекла новая группа вымогателей, действующая под брендом Wallstreet. Согласно [данным] мониторинга даркнета и публичных источников, в период с 4 по 10 июля 2026 года злоумышленники включили в свой список жертв четыре организации, расположенные в США и Эквадоре. Этот инцидент представляет интерес как пример быстрого появления и оперативной активности малоизвестной прежде группы в сфере вымогательства на основе кражи данных.
Описание
Wallstreet впервые стала публично отслеживаться во второй половине июня 2026 года и начала публиковать данные на своём сайте утечек в Tor-сети в начале июля. На данный момент группа характеризуется как небольшая, но активно действующая организация, специализирующаяся на вымогательстве с приоритетом эксфильтрации данных. По имеющейся информации, Wallstreet атакует организации в различных секторах - здравоохранение, страхование, производство, автомобильная промышленность и государственное управление. География жертв включает США, Эквадор и Индию.
Среди подтверждённых жертв за указанный период: Asisken (Эквадор, медицинская помощь и медицинское страхование), Gold Standard Automotive (США, автомобильные и сервисные контракты), Baraga County Memorial Hospital (США, здравоохранение) и Edgewood Police Department (США, муниципальные правоохранительные органы). Все эти организации были перечислены на сайте утечек Wallstreet 4 июля 2026 года. Пока нет публичных данных о том, выплатили ли жертвы выкуп или предприняли другие действия.
Технические возможности группы остаются неясными. На данный момент не обнаружено ни одного образца файлового шифратора Wallstreet, а также хешей вредоносных файлов, STIX-наборов или индикаторов командно-контрольных серверов. Единственным известным техническим индикатором является onion-адрес сайта утечек в сети Tor. Отсутствие подтверждённых образцов шифратора означает, что основным инструментом давления на жертв выступает угроза публикации похищенных данных. Это характерно для многих современных операций вымогателей, которые всё чаще полагаются на эксфильтрацию без обязательного шифрования.
Методы работы Wallstreet, насколько можно судить по открытым источникам, включают начальный доступ через скомпрометированные учётные данные и открытые удалённые сервисы (например, VPN или RDP). После проникновения злоумышленники проводят внутреннюю разведку, ищут файловые хранилища и резервные копии, а затем боковым перемещением через SMB или RDP добираются до ценных данных. Затем данные собираются, сжимаются и эксфильтруются через веб-каналы или облачные сервисы. Финальная стадия - публикация списка жертв на сайте утечек с требованием выкупа под угрозой раскрытия информации.
Для организаций, которые могут стать мишенью подобных групп, важно понимать, что даже при отсутствии шифрования утечка конфиденциальных данных наносит серьёзный ущерб репутации и может привести к финансовым потерям, регуляторным штрафам и судебным искам. Особенно уязвимы медицинские и государственные учреждения, где обрабатываются чувствительные персональные данные. В случае Wallstreet риски для жертв высоки, поскольку группа активно публикует информацию о скомпрометированных организациях.
Вывод из произошедшего: появление новых групп вымогателей, таких как Wallstreet, подтверждает тенденцию к децентрализации и быстрой смене брендов в мире вымогательского ПО. Злоумышленники делают ставку на простоту доступа - кражу данных, а не на сложное шифрование. Для защиты необходимо сосредоточиться на контроле доступа, многофакторной аутентификации, мониторинге необычной сетевой активности и регулярном обучении персонала. Однако главный риск - утечка данных - требует внедрения процессов быстрого реагирования и планов по минимизации ущерба. Случай Wallstreet служит напоминанием, что угроза может исходить не только от крупных APT-групп, но и от небольших, технически слабо документированных, но агрессивных операторов.
Индикаторы компрометации
Onion Domain
- 4dwiv37h7hhuhjpvtn72hme4ylcv3qoe65arfc6mbweal7als6ma7pyd.onion