В мире киберугроз всё чаще стирается грань между хактивизмом, движимым идеологией, и откровенно корыстными киберпреступными схемами. Группы, когда-то атаковавшие сайты и сливавшие данные ради политических или социальных целей, теперь осваивают ransomware-атаки, зарабатывая миллионы. Исследование трёх ключевых игроков - FunkSec, KillSec и GhostSec - показывает, как легко идеалисты превращаются в рэкетиров цифрового мира.
Описание
FunkSec, начинавшие как сторонники движения «Free Palestine», теперь предлагают AI-генератор для шифрования данных и за полгода заявили о 172 жертвах. KillSec, изначально атаковавшие под флагом Anonymous, перешли на RaaS-модель, продавая инструменты для шифрования Windows и ESXi-серверов, а заодно открыли «магазин» украденных данных. GhostSec, прославившиеся кампанией против ИГИЛ*, позже объединились с ransomware-группой Stormous, запустили собственный шифровальщик GhostLocker, но затем неожиданно «ушли на пенсию», заявив, что заработали достаточно для хактивизма.
Эти группы объединяет не только смена тактики, но и общий тренд: доступность инструментов для кибершантажа (например, утечек исходного кода LockBit 3.0) и жажда лёгкой прибыли. Они используют двойной шантаж - шифруют данные и угрожают их публикацией, но их методы всё ещё уступают в sophistication топовым группировкам вроде LockBit.
Почему хактивисты идут в криминал? GhostSec прямо заявили: «для финансирования борьбы». Другие, вероятно, просто устали от идеологии в мире, где ransomware приносит миллионы. Но есть и исключения: например, Ikaruz Red Team используют ransomware только для политического давления, не стремясь к обогащению.
Этот феномен - тревожный сигнал для киберзащиты. Гибридные группировки, сочетающие идеологическую мотивацию с криминальным бизнес-подходом, усложняют прогнозирование атак и меры противодействия. И если тенденция сохранится, следующий целевой атакой окажется не только госструктура «из принципа», но и частная компания - просто потому, что за неё кто-то заплатит.
* - организация, запрещённая в России и ряде других стран.
Индикаторы компрометации
IPv4
- 77.91.77.187
- 82.147.84.98
- 93.123.39.65
Onion Domains
- funksec53xh7j5t6ysgwnaidj5vkh3aqajanplix533kwxdz3qrwugid.onion
- funksec7vgdojepkipvhfpul3bvsxzyxn66ogp7q4pptvujxtpyjttad.onion
- funksecsekgasgjqlzzkmcnutrrrafavpszijoilbd6z3dkbzvqu43id.onion
URLs
- http://funk4ph7igelwpgadmus4n4moyhh22cib723hllneen7g2qkklml4sqd.onion
- http://funksec.top
- http://ks5424y3wpr5zlug5c7i6svvxweinhbdcqcfnptkfcutrncfazzgz5id.onion
- http://pdcizqzjitsgfcgqeyhuee5u6uki6zy5slzioinlhx6xjnsw25irdgqd.onion
SHA256
- 3ecf05857d65f7bc58b547d023bde7cc521a82712b947c04ddf9d7d1645c0ce0
- 8b758ccdfbfa5ff3a0b67b2063c2397531cf0f7b3d278298da76528f443779e9
- 8cee3ec87a5728be17f838f526d7ef3a842ce8956fe101ed247a5eb1494c579d
- a1b468e9550f9960c5e60f7c52ca3c058de19d42eafa760b9d5282eb24b7c55f
- c9f71fc4f385a4469438ef053e208065431b123e676c17b65d84b6c69ef6748a
