Эксперты компании TheRavenFile зафиксировали восстановление инфраструктуры и операционных индикаторов, связанных с группой вымогателей RADAR, которую считают преемницей ранее действовавшей сети Dispossessor. Об этом свидетельствует анализ обновленной платформы для утечек данных, на которой уже представлены около десяти корпоративных жертв, причем организации из США составляют большинство среди пострадавших.
Описание
Группа RADAR демонстрирует приверженность тактике двойного шантажа: данные жертв сначала похищаются, а затем публикуются на автоматизированной платформе утечек. Это создает дополнительное давление на компании, поскольку даже восстановление из резервных копий не предотвращает потенциального разглашения конфиденциальной информации.
По оценкам исследователей, группа обладает умеренным уровнем технической подготовки, используя автоматизированные инструменты для подготовки данных жертв и создания доказательств компрометации. В арсенале злоумышленников сохраняются как ресурсы в обычном интернете, так и в даркнете, которые используются для публикации украденной информации и ведения переговоров.
Особенностью новой платформы стало использование альтернативного домена для размещения утечек. Примечательно, что в разделе новостей самой платформы содержится информация о ликвидации оригинальной группы Dispossessor, что может указывать на попытку создания преемственного нарратива.
Операционная модель группы включает демонстрационные механизмы: перед непосредственной публикацией данных злоумышленники предоставляют скриншоты файлов жертв. Как установили аналитики, все эти скриншоты создаются с помощью автоматизированных инструментов, что свидетельствует о стандартизации процесса шантажа.
Хотя точные векторы первоначального проникновения не детализированы, наблюдаемая активность соответствует известным моделям поведения программ-вымогателей, сфокусированным на краже данных, шантаже и создании медийного давления на жертв. Группа Dispossessor, с которой связывают нынешних злоумышленников, активно действовала в период с 2020 по 2024 год, что указывает на возможную преемственность не только тактик, но и части инфраструктуры.
Специалисты по кибербезопасности отмечают, что автоматизация процессов свидетельствует о развитии операционных возможностей группы. Использование автоматических инструментов для создания скриншотов и организации утечек данных позволяет злоумышленникам масштабировать свою деятельность и одновременно работать с несколькими жертвами.
Текущая активность группы RADAR подчеркивает сохраняющуюся актуальность угрозы программ-вымогателей для бизнеса, особенно в США. Эксперты рекомендуют организациям усилить меры защиты периметра, внедрить многофакторную аутентификацию и регулярно обновлять системы резервного копирования. Особое внимание следует уделить мониторингу не только темных, но и открытых веб-ресурсов, где могут появляться свидетельства компрометации данных.
Возрождение групп вымогателей после их предполагаемого разгрома становится тревожной тенденцией в киберпространстве. Это демонстрирует, что даже успешные операции правоохранительных органов не всегда приводят к полному прекращению деятельности преступных сетей, которые могут восстанавливать инфраструктуру и возобновлять операции под новыми названиями.
Индикаторы компрометации
IPv4
- 104.243.32.21
- 5.144.176.94
Onion Domains
- 3bnusfu2lgk5at43ceu7cdok5yv4gfbono2jv57ho74ucjvc7czirfid.onion
- 4q5tsu5o3msmv4am4dfhupwhzlyg7wv3lpswbvbhcrknr4ega7xetxad.onion
URLs
- http://5.144.176.94:50080/awaiting-publication
- http://5.144.176.94:50080/contact
- http://5.144.176.94:50080/leaked-data
- http://5.144.176.94:50080/news
- http://5.144.176.94:50080/order-service
- http://5.144.176.94:50080/terms-and-conditions
MD5
- 67d860ac2ab4b0a7e0025263a0484efe
