Эксперты по информационной безопасности зафиксировали появление свежего вымогательского бренда под названием Pink. Эта группа использует нестандартный вектор первоначального проникновения - звонки от имени сотрудников IT-отдела. Аналитики из подразделения Unit 42 компании Palo Alto Networks уже отслеживают активность кластера под идентификатором CL-CRI-1147 и связывают его с известными криминальными сообществами.
Описание
Согласно открытым данным, сайт утечек Pink начал работу 31 мая 2026 года. На нём уже опубликованы несколько жертв, причём без каких-либо упоминаний о связи с более ранними группировками. Это указывает на то, что перед нами принципиально новая экосистема, а не ребрендинг уже существующей. Само появление подобного ресурса и быстрое пополнение списка пострадавших говорят о высокой активности злоумышленников.
Аналитики Unit 42 за последние месяцы расследовали множество инцидентов, которые, вероятно, связаны с группировками из того же криминального круга. Один из показательных случаев произошёл 1 июня 2026 года. Речь идёт о переговорах по выкупу, которые ранее не получали ответа от жертвы. Неожиданно атакующий, относящийся к одному из кластеров, предположительно аффилированных с Com (криминальным онлайн-сообществом, объединяющим хакерские группы), вышел на связь через новый бесплатный почтовый ящик. В отчёте Unit 42 описывается, что злоумышленник предоставил свежий идентификатор в защищённом мессенджере qTox и ссылку на сайт утечек Pink. При этом содержимое похищенных данных почти полностью совпадало с информацией из первоначального уведомления о вымогательстве. Жертве дали 72 часа на ответ - стандартный для подобного типа угроз срок.
Тактика первоначального доступа заслуживает отдельного внимания. Вместо рассылки фишинговых писем или эксплуатации уязвимостей злоумышленники применяют голосовой фишинг - вишинг. Звонящий представляется сотрудником внутренней IT-службы компании и убеждает пользователя перейти на поддельный сайт для входа, где тот вводит свои учётные данные. Таким образом атакующий получает не только пароль, но и возможность обойти многофакторную аутентификацию. Жертва сама передаёт секретный код или подтверждает вход, полагая, что помогает решить техническую проблему.
После получения доступа к учётной записи преступники действуют стремительно. Они быстро находят и скачивают данные из корпоративных хранилищ Microsoft SharePoint и OneDrive. Такой подход характерен для других групп, связанных с сообществом Com, например для Bling Libra (известной также как ShinyHunters) или кластера CL-CRI-1116, который стоит за брендами Blackfile и Redact. Похоже, что Pink переняла эту отлаженную методику: скорость эксфильтрации минимальна, а цели - наиболее критичные облачные репозитории.
Уже через короткое время после кражи данных злоумышленники используют скомпрометированную учётную запись жертвы. От её имени они рассылают письма с требованиями выкупа, а также отправляют внутренние сообщения в корпоративном мессенджере Teams. Это создаёт дополнительное замешательство: сотрудники видят знакомый адрес отправителя и с большей вероятностью воспринимают угрозу всерьёз или, наоборот, не сразу отличают подлинное предупреждение службы безопасности от ложного.
Техническая инфраструктура Pink также заслуживает упоминания. Группировка активно использует домены второго уровня, которые применяются для атак на несколько организаций одновременно. При этом третий уровень домена обычно тематически привязан к конкретной цели - например, содержит название компании или отраслевой термин. Все эти адреса размещены на хостинге DDoS-Guard, который известен своей устойчивостью к блокировкам. Выбор подобного провайдера неслучаен: он позволяет злоумышленникам дольше сохранять контроль над фишинговыми страницами и панелями управления утечками.
Последствия атак Pink могут быть серьёзными для любого бизнеса. Утечка конфиденциальной информации из SharePoint и OneDrive грозит не только репутационными потерями, но и прямым финансовым ущербом от утечки коммерческой тайны или персональных данных клиентов. Кроме того, сам факт, что группировка использует вишинг для обхода многофакторной аутентификации, указывает на слабое место во многих корпоративных защитах. Технические меры сами по себе не помогают, если сотрудник добровольно передаёт код подтверждения.
С точки зрения защитных рекомендаций, специалистам по безопасности стоит обратить внимание на обучение персонала распознаванию голосового фишинга. Любой звонок от якобы IT-отдела с просьбой ввести учётные данные или код аутентификации должен восприниматься как подозрительный. Целесообразно внедрить процедуру перезванивать отправителю по официальному номеру, указанному в корпоративном справочнике. Дополнительно стоит усилить мониторинг активности в облачных хранилищах: массовая выгрузка данных из SharePoint или OneDrive в нерабочее время - явный индикатор компрометации.
Появление Pink - очередной сигнал о том, что вымогательские группы становятся изобретательнее в методах первоначального проникновения. Вишинг, который раньше ассоциировался в основном с финансовым мошенничеством, теперь активно используется для доступа к корпоративным сетям. А значит, компаниям нужно пересматривать свои программы повышения осведомлённости сотрудников и делать упор не только на защиту от фишинговых писем, но и на отработку реакции на неожиданные телефонные звонки от "внутренних служб поддержки".
Индикаторы компрометации
Phishing Domains
- passkeyadd.com
- passkeydeploy.com
- deploypasskey.com
IP Addresses
- 185.178.208.153
- 172.93.100.252
- 96.232.20.66
User-agent Strings
- Microsoft.Graph.Client/5.62.0
- python-requests/2.28.1
- python-requests/2.33.1