Киберпреступность «как услуга»: группа World Leaks совместила утечку и шифрование в атаке на медицинский сектор

Эта модель эволюционировала из практики двойного вымогательства, когда программы-вымогатели не только шифровали данные, но и угрожали их публикацией. В рамках EaaS сама функция вымогательства - переговоры с жертвой, публикация данных на сливных сайтах (data leak sites) и давление - выделилась в отдельную услугу, которую можно заказать. Это отражает общий тренд, при котором злоумышленники всё чаще отдают приоритет краже и публикации данных, а не традиционному шумному шифрованию, что снижает операционную сложность атак и увеличивает давление на жертву через репутационный ущерб.

Ярким примером такой эволюции стала группа World Leaks, появившаяся в начале 2024 года как ребрендинг печально известного оператора программ-вымогателей Hunters International. К середине 2025 года, под давлением правоохранительных органов и из-за снижения доходности, группа отказалась от шифрования в пользу чистой модели вымогательства. World Leaks позиционирует себя как аффилированная EaaS-операция, предоставляя партнёрам специализированный софт для выгрузки данных и поддерживая сложную четырёхкомпонентную инфраструктуру: основной сливной сайт в даркнете, портал для переговоров с жертвами с онлайн-чатом, панель управления для аффилиатов и даже отдельную платформу для «инсайдерских» журналистов, получающих доступ к украденным данным за сутки до публичной утечки. Группа известна таргетированием промышленных предприятий, организаций здравоохранения и технологических компаний по всему миру, особенно в США, Канаде и Европе.

Однако, вопреки заявленной модели «вымогательства без шифрования», реальность оказалась сложнее. Аналитики компании Darktrace обнаружили инцидент в сети организации из сферы здравоохранения в январе 2026 года, где активность World Leaks привела не только к масштабной утечке данных, но и к их шифрованию. Это событие наглядно демонстрирует, что даже при общих трендах в тактике конкретных групп, защитникам следует готовиться к любому сценарию. Атака началась ещё в середине октября 2025 года, вероятно, с компрометации устройства Fortigate, что указывает на трёхмесячное время пребывания злоумышленников в сети до финальной стадии. Угроза использовала методы «жизни за счёт земли» (Living-off-the-Land, LOTL), применяя легитимные инструменты администрирования, такие как PsExec, для перемещения по сети.

Ключевым элементом скрытности стало использование Cloudflare Tunnel (ранее Argo Tunnel) для организации командного канала. Этот сервис позволяет создавать защищённые туннели для передачи трафика, что делает активность злоумышленников менее заметной для традиционных средств защиты, полагающихся на статические чёрные списки. Для дальнейшего разведки и перемещения использовались Windows Remote Management (WinRM), RDP и даже Chrome Remote Desktop. Также была зафиксирована подозрительная активность по протоколу SSH и аномальные соединения с внешним IP-адресом, связанным в открытых источниках с инфраструктурой ботнетов и троянов удалённого доступа (Remote Access Trojan, RAT). Это подчёркивает ещё один аспект индустриализации киберпреступности - использование «инфраструктуры-как-услуги», где ботнеты сдаются в аренду различным группам, усложняя атрибуцию.

Фаза выгрузки данных началась в ноябре. Злоумышленники перекачали более 80 ГБ информации на облачные хранилища, в частности MEGA, используя для этого известный командный инструмент Rclone. Этот шаг полностью соответствовал известным процедурам World Leaks. Кульминацией же, вопреки ожиданиям, стало развёртывание вредоносного ПО для шифрования. В сети была обнаружена записка с требованием выкупа, атрибутированная World Leaks, а также исполняемые файлы, предположительно являвшиеся полезной нагрузкой для шифровальщика. Интересно, что в системе Darktrace была активирована функция автономного реагирования (Autonomous Response), которая изначально блокировала подозрительные соединения, давая команде безопасности время на реакцию. Однако после истечения срока действия этих временных мер атака возобновилась, что подчёркивает критическую важность скорости и непрерывности защитных мер в условиях быстроразвивающихся угроз.

Этот случай служит важным напоминанием для специалистов по информационной безопасности. Несмотря на растущую популярность модели чистого вымогательства, которая сложнее для обнаружения и может нанести более долгосрочный репутационный ущерб, угроза традиционного шифрования никуда не исчезает. Гибридные атаки, сочетающие кражу данных с их последующим шифрованием, остаются крайне эффективными. Более того, в аффилированных моделях, таких как EaaS, конкретный исполнитель (аффилиат) может иметь собственные цели и методы, отклоняющиеся от заявленной тактики основной группы. Защита должна быть многослойной и адаптивной, делая акцент на обнаружении аномальной активности на ранних стадиях, строгом контроле доступа, обязательном использовании многофакторной аутентификации (MFA) для всех критических сервисов, включая VPN, и постоянном мониторинге исходящего трафика на предмет признаков утечки данных в облачные хранилища. Понимание трендов необходимо, но готовность к неожиданным сценариям со стороны известных угроз - это то, что отделяет успешное предотвращение инцидента от дорогостоящего восстановления после него.

IPv4

• 193.161.193.99
• 51.15.109.222

Ransom Note

• ^[A-Z][a-z]{3}[A-Z][a-z][A-Z]{3}[.]README[.]txt

Ransomware file extension

• [.]^[A-Z][a-z]{3}[A-Z][a-z][A-Z]{3}