ShadowByt3$: новый игрок на рынке вымогателей с громкими заявлениями, но сырой реализацией

Исследователи из компании Barricade Cyber Solutions провели детальный разбор инцидента. Они изучили утёкший исходный код, переписку в мессенджерах, активность на форумах и данные из блокчейна. Выводы оказались неожиданными. С одной стороны, группа допустила грубейшие промахи. Её собственный установщик Windows в течение нескольких недель был неработоспособен. В документации, сгенерированной нейросетью, остались фрагменты запросов к ChatGPT, например, "Хотите, я покажу, как добавить ограничение глубины рекурсии...". Более того, злоумышленники случайно выложили в открытый доступ исходный код своей же программы-вымогателя. Их биткоин-кошелёк пуст, а сайт утечек содержит неработающие ссылки на скачивание данных.

С другой стороны, техническая реализация атаки вызывает уважение. Анализ документа, опубликованного Barricade, показывает, что полезная нагрузка для операционной системы Linux обнаруживается лишь 4 антивирусными движками из 72. Это чрезвычайно низкий показатель детекта. В основе шифрования лежит криптографически грамотная схема: алгоритм AES-256-GCM для каждого файла с последующей упаковкой ключа асимметричным шифрованием RSA-2048. Кроме того, сборщик программы делает каждый бинарный файл уникальным, меняя его хеш-сумму. Это означает, что блокировка по сигнатурам и старым индикаторам компрометации может не сработать.

Группа активно вербует партнёров на теневых форумах и в Telegram. Они пробовали устроиться тестировщиками на проникновение в программу Qilin RaaS, но получили отказ. Несмотря на любительский антураж, ShadowByt3$ - это действующая программа-вымогатель с живым порталом для аффилиатов и функциональным шифрованием.

Технический анализ вскрыл ещё одну особенность. В утёкшем архиве содержатся два совершенно разных проекта: для Windows и для Linux. Между собой они не имеют ничего общего, кроме названия. Linux-версия написана на языке Go, статически скомпонована и не содержит никаких системных библиотек. Она обходит критически важные каталоги, такие как /boot, /etc, /proc, а также системные файлы, чтобы не сломать операционную систему окончательно. Её чистый билд не обнаруживается ни одним антивирусом на VirusTotal. Windows-версия оказалась нестабильной и использует другую криптографию - эллиптическую кривую ECIES и поточный шифр ChaCha20. Она также меняет обои рабочего стола на картинку из внешнего хостинга, что само по себе является заметным индикатором атаки.

При этом разработчики допустили серьёзную ошибку в операционной безопасности: тексты записок с требованиями выкупа содержат разные контактные данные для разных версий. Telegram-бот и идентификатор чата в Windows-версии отличаются от тех, что зашиты в Linux-версию. Это может запутать жертву, но для аналитика такие разночтения - ценный материал для профилирования атакующего.

Ключевой вывод исследования заключается в том, чего программа-вымогатель НЕ делает. В её исходном коде отсутствуют механизмы удаления теневых копий файлов (Volume Shadow Copy), уничтожения резервных копий, завершения процессов или служб. Нет проверки на запуск в виртуальной среде, нет попыток повышения привилегий, нет распространения по сети. Это просто шифровальщик, который исполняется на одной машине и не оставляет после себя закрепления в системе.

Финансовый след группы также говорит о низкой эффективности. Биткоин-кошелёк, хотя и показывает несколько транзакций, сейчас пуст. Все полученные суммы были немедленно выведены. Никаких следов крупных выплат выкупа не обнаружено. Эфириум-кошелёк и вовсе не использовался. Монеро-кошелёк проверить невозможно из-за особенностей этой криптовалюты, но с учётом общего профиля едва ли там хранятся миллионы.

Чем же опасна такая группа? Тем, что она продолжает существовать и вербовать операторов. Низкий уровень детекта Linux-версии позволяет ей обходить многие системы защиты, построенные на сигнатурном анализе. Полиморфный сборщик генерирует уникальный бинарный файл для каждой жертвы, что делает бесполезной блокировку по старым хешам. А главное - группы, которые начинают с любительского уровня, быстро эволюционируют, когда к ним присоединяются опытные партнёры. ShadowByt3$ активно ищет именно таких специалистов.

Специалистам по безопасности стоит обратить внимание на поведенческие индикаторы атаки. Массовое переименование файлов с добавлением расширения .SHADOWBYT3S, появление файла README2DECRYPT в множестве каталогов, попытка смены обоев рабочего стола через PowerShell - всё это остаётся неизменным независимо от хеша бинарного файла. Также следует заблокировать известные адреса инфраструктуры группы, включая сайт утечек на clearnet и Tor-сервисы.

В итоге перед нами классический пример того, как низкая квалификация в операционной безопасности сочетается с грамотной криптографией. ShadowByt3$ пока не стали новыми LockBit, но их инструментарий опасен, а желание развиваться - очевидно. Игнорировать эту группу - значит рисковать столкнуться с ней в тот момент, когда её код будет доработан профессионалами.

Domains

• shadowsblog.cloud-ip.cc

Onion Domains

• mfbbt65kir2drc7tuoukwibikgvxquauscnzgbeltkmidjtgqlzm2qad.onion
• sdwbytqeb664krp2wz2qs3lxxah2rhneuotot5hy7g4jpn2pindigcad.onion

URLs

• https://postimg.cc/XBCvNbMS

Telegram

• https://t.me/ShadowByt3S
• https://t.me/shadows_supp
• https://t.me/Shadows22
• https://t.me/techfood247

Emails

• ShadowByt3S@proton.me

SHA256

• 3a253393fab8606296654cff93e033b9912324c21e802d175b0329fa865827bc
• ccae7ab0a069b628aed34ed696704f5b4d1df6843c5e58b5dec821084c275d68