Новая RaaS-группировка BravoX: от изощрённой инфраструктуры до агрессивного вымогательства

BravoX придерживается классической схемы двойного вымогательства. Сначала злоумышленники похищают данные из заражённой сети, затем шифруют системы. Если жертва отказывается платить, группировка угрожает опубликовать украденную информацию. Такой подход давно стал отраслевым стандартом среди операторов вымогательского ПО, однако BravoX внесла в него несколько любопытных новшеств.

Есть веские основания полагать, что группировка базируется на территории бывшего СССР. Косвенным, но показательным признаком служит запрет на атаки против организаций из стран СНГ. Эта практика многократно фиксировалась у других русскоязычных хакерских групп и служит одним из маркеров их происхождения. Конечно, одного этого указания недостаточно для точной географической привязки, но оно хорошо вписывается в наблюдаемую картину.

Специалисты компании InfoGuard, расследовавшие атаку одной из жертв BravoX, обнаружили несколько нетипичных тактик, приёмов и процедур (TTPs). Особого внимания заслуживает этап закрепления в системе, где злоумышленники проявили неожиданную изобретательность. Вместо стандартных методов они скомбинировали кастомные механизмы с инструментарием, целенаправленно подрывающим работу средств защиты. Всё это дополнялось удивительно качественно сделанным сайтом утечек и переговорной платформой - похоже, BravoX хорошо владеет современными технологиями. Но как только дело доходило до непосредственного требования денег, их стиль становился откровенно агрессивным и даже навязчивым.

Цепочка атаки начиналась банально, но эффективно. Первоначальный доступ был получен через SSL VPN без многофакторной аутентификации (MFA) и с чрезвычайно слабым паролем учётной записи. Это классический вектор для современного вымогательского ПО. Разведка тоже не блистала оригинальностью: сети использовались такие распространённые инструменты, как SoftPerfect Network Scanner и Advanced IP Scanner, а также WMI-команды для сбора информации об установленном программном обеспечении.

Для кражи учётных данных злоумышленники выполнили дамп памяти процесса lsass.exe на сервере. Действие, прямо скажем, грубое, но при отсутствии мониторинга оно осталось незамеченным. Полученные привилегии позволили активно перемещаться по сети через RDP. Атакующие не стеснялись входить в системы интерактивно, перепрыгивая с хоста на хост, словно у себя дома. Из первого скомпрометированного сервера они быстро добрались до контроллеров домена, а затем вернулись обратно. После чего неожиданно затихли на целых семь дней, чтобы вернуться и продолжить ровно с того же места.

Вот тут и проявилась та самая изобретательность. Для закрепления в системе BravoX создала задачу планировщика с именем \Windows Timer. Она запускала локальную копию Tor (tor.exe) со специальным конфигурационным файлом, настраивая скрытый сервис третьей версии. Это позволяло получить доступ к службе удалённого рабочего стола (RDP) через сеть Tor по адресу onion. Вместо того чтобы возиться с правилами межсетевого экрана, атакующие просто сделали систему доступной анонимно через скрытый канал.

Вторая задача, названная \WindowsUpdateZ, выполняла утилиту dmw.exe для создания SOCKS5-туннеля. Этот файл, впервые появившийся на VirusTotal 23 октября 2025 года, определялся как вредоносный только одним антивирусным движком. Утилита устанавливала аутентифицированное исходящее SSH-соединение к удалённому хосту, создавая незаметную точку входа во внутреннюю сеть в обход всех периметровых защит.

Для обхода средств защиты BravoX применила специализированный набор инструментов. Среди них оказался так называемый убийца EDR под именем Killer.exe и уязвимый драйвер vulndriver.sys (известный также как wsftprm.sys). Судя по анализу строк в исполняемом файле, этот инструмент целенаправленно атакует процессы Microsoft Defender и Sophos EDR. Перед этим атакующие попробовали самый простой путь - попытались отключить Defender через его собственный интерфейс пользователя.

Для выгрузки данных использовался хорошо знакомый специалистам инструмент Rclone. Он идеально подходит для тихого перемещения больших объёмов информации в облачные сервисы, поскольку его трафик почти неотличим от легитимного. BravoX даже великодушно указывала в записке с требованием выкупа объём похищенных данных в гигабайтах, хотя к таким цифрам стоит относиться с известной долей скепсиса.

Шифрование проводилось по стандартной схеме: виртуальные серверы получали зашифрованные VMDK-файлы, а физические шифровались на уровне операционной системы с помощью исполняемого файла win.exe. После завершения процедуры на системах оставалась записка с именем 00_Recovery_Notes.txt. Зашифрованные файлы получали расширение .bx-0000.

Платформа для переговоров оказалась на удивление современной. При первом входе жертву сразу встречал таймер обратного отсчёта с обещанием "скидки". Система включала несколько автоматизированных элементов давления. Например, статус утечки данных проходил три стадии: частный режим, предрелиз (публикация поста о компании без файлов) и полный релиз всех данных. Жертвам даже давали возможность предварительного просмотра будущей публикации по частной ссылке. Стоит отметить, что логины жертв логировались, а злоумышленники могли редактировать свои сообщения в чате после отправки.

Когда BravoX поняла, что соглашение не будет достигнуто, их поведение кардинально изменилось. Они перешли в агрессивное наступление: начали почтовый бомбинг, писали сотрудникам компании напрямую в LinkedIn, настаивая на продолжении переговоров. Более того, они приняли предложение жертвы, которое изначально отвергли, и задним числом изменили свои сообщения в чате. Эксперты советуют в таких ситуациях сохранять спокойствие - рано или поздно давление прекратится.

Этот инцидент - яркое напоминание о том, что современные кампании программ-вымогателей не обязательно полагаются на прорывные технологии. Успех атаки часто определяется грамотной комбинацией и адаптацией давно известных методов. BravoX наглядно демонстрирует это, сочетая стандартные техники с нестандартным закреплением и откровенно дилетантским стилем вымогательства на финальной стадии. Организациям стоит уделить первостепенное внимание основам защиты: жёсткая настройка внешних сервисов, обязательное внедрение многофакторной аутентификации и постоянный мониторинг подозрительной активности остаются наиболее действенными мерами против подобных угроз.

IPv4

• 45.61.136.225
• 64.94.85.76
• 91.222.174.120
• 91.222.174.96

SHA256

• 16cbe40fb24ce2d422afddb5a90a5801ced32ef52c22c2fc77b25a90837f28ad
• 26d5748ffe6bd95e3fee6ce184d388a1a681006dc23a0f08d53c083c593c193b
• 6c176e9c2a7eaf4eb26ee08deadba88ba39a14cba064f946d2722718ac1b57f8
• 718843e370a54fb55002def4f5f9e5b2cd85074f43c2bb52195f889371c0fb2f
• aaa647327ba5b855bedea8e889b3fafdc05a6ca75d1cfd98869432006d6fecc9
• f6a96e19344b3f9bd2ac9c47737552243b43bd11663cf308c04b03a6510bbc10
• fa3b6b5ed9ea44aa91e7904081745b4af63a8e322e8090eaa7e303ce68247e9c
• fd7752ec39f9c73bf330cfdb53691cf89f3e316c81c7102566df51430e1bfed5
• ff5dbdcf6d7ae5d97b6f3ef412df0b977ba4a844c45b30ca78c0eeb2653d69a8