Война программ-вымогателей: группировки 0APT и KryBit уничтожили друг друга, устроив публичную утечку операционных данных

Всё началось в конце января 2026 года, когда на сцене появилась группировка 0APT. За первую неделю своего существования она разместила на сайте утечек данные более чем 190 якобы скомпрометированных компаний. Специалисты быстро усомнились в подлинности этих заявлений: жертвы не подтверждали взломов, а выложенные файлы не проходили верификацию. Скорее всего, 0APT пыталась привлечь партнёров в свою партнёрскую программу, демонстрируя мнимую активность. У группировки действительно имелись функционирующие программы-шифровальщики для Windows и Linux, но отсутствие реальных жертв привело к тому, что проект затих на четыре месяца.

В конце марта 2026 года появилась новая угроза - KryBit. Эта группировка запустила модель "программа-вымогатель как услуга" (RaaS - модель, при которой разработчики предоставляют вредоносное ПО партнёрам за процент от выкупа) с выгодными для соучастников условиями: 80 процентов выкупа доставалось им, 20 процентов - операторам. KryBit предлагала инструменты для Windows, Linux, ESXI и NAS-устройств. Всего за две недели группировка опубликовала данные десяти реальных жертв, что указывало на её техническую состоятельность.

В апреле 0APT предприняла отчаянную попытку вернуть себе влияние. Вместо того чтобы искать новые цели, операторы решили атаковать конкурентов. Они удалили со своего сайта все 190 фиктивных записей о жертвах и выложили данные о трёх группировках: KryBit, Everest и RansomHouse. Как отмечается в отчёте исследовательского центра Halcyon, занимающегося мониторингом угроз, эта стратегия оказалась крайне рискованной и привела к непредсказуемым последствиям.

Утечка данных Everest оказалась частичной. Злоумышленники опубликовали SQL-базу данных, содержащую информацию о публикациях и пользователях за период с января по сентябрь 2025 года. Однако записи были должным образом закодированы и хэшированы, что защитило критически важные поля. В базе числилась всего одна учётная запись администратора, созданная 29 августа 2025 года. Интересно, что Everest не ответила на агрессию публично и не предприняла ответных действий. RansomHouse, по всей видимости, вообще не пострадал - данные этой группировки в утечке отсутствовали.

Совсем иначе сложилась ситуация с KryBit. 0APT опубликовала панель администратора этой группировки, включавшую данные об операторах, партнёрах и переговорах с жертвами. Судя по опубликованной информации, KryBit был компактным, но активно развивающимся проектом. На момент утечки в группировке числилось два администратора и пять партнёров, а также 20 потенциальных жертв. Объём украденных у каждой компании данных колебался от 10 до 250 гигабайт, а суммы требуемых выкупов составляли от 40 до 100 тысяч долларов. Операторы использовали пять биткоин-кошельков, которые применялись повторно для разных жертв и партнёров. Ни один из кошельков не зафиксировал транзакций, и ни одна жертва не имела статуса оплаты - то есть к моменту утечки KryBit не получил ни одного выкупа.

Ответ KryBit не заставил себя ждать. Уже 14 апреля группировка получила доступ к инфраструктуре 0APT, похитила её операционные данные, а затем разместила их на своём сайте утечек, объявив 0APT своей жертвой. Сайт утечек 0APT был взломан и заменён сообщением от KryBit. На следующий день KryBit опубликовала полный набор данных 0APT, включавший журналы доступа, исходный код на PHP и системные файлы. Эти логи неопровержимо доказывали, что все 190 с лишним жертв, заявленных 0APT в январе, были фиктивными - никаких данных ни у одной из них не похищалось. Более того, инфраструктура 0APT оказалась устроена до удивления примитивно: сайт для утечек работал на операционной системе AnLinux-Parrot OS, а весь контент передавался через SD-карту внутри обычного Android-телефона.

Каковы же итоги этого криминального противостояния для практикующих специалистов по безопасности?

• Заявлениям группировки 0APT доверять не стоит. Все опубликованные ею данные наверняка являются подделкой, и тратить ресурсы на их расследование бессмысленно.
• KryBit и Everest представляют собой реальные угрозы с подтверждёнными жертвами.
• Объём похищенных KryBit данных (до 250 гигабайт на цель) указывает на то, что перед шифрованием злоумышленники могли длительное время оставаться в сети жертвы, собирая информацию. Специалистам стоит обратить внимание на мониторинг аномального исходящего трафика и создание крупных архивов в системе.
• Оба конфликтующих проекта, вероятно, попытаются восстановить инфраструктуру под новыми именами в ближайшие недели или месяцы. Криминальный мир редко прощает ошибки, и этот случай стал наглядным уроком того, что даже злоумышленники могут становиться жертвами.

BTC Wallet

• bc1q5fvym0l0vvzhenhynzduf3qyp85zjdsrn7j8ju
• bc1qznfsaeyd4j4mzcsgu2a4m0sj5pw6tvrx2vdscl
• bc1q7uhjsc6qtx933v2wjgmevh63yssjvzfx7cegud
• bc1qvd3ucrrgzq5eyay5xxn8jerjh669ua6qyz3urk

Tox ID

• F65E1621B7A5DC0139FE108B9CD48404082951E7E7F421A07A7B88A8E8111C13C552EA2B0C4C
• 48B547A7A6195593B9158E4B6160ED0310B2F9AD080992D44EA299878DCCD0551CC7CAD168CD
• 0D72935BE65992C164D5BFAFD668ACE2004A317859E360A0851B864AA422EA2E43179699DBE3
• B7EA3E6CD89496CDC27FC7A4010DCA634D8EED1282EFD5E1FF876C91DD4AA94193403F29B58C
• 590586B43A7F5101002EA0167A6E627402512D50B41E1178E484B3DB9616F31ABD9D938D9AC9
• AD8A7E310F6A6DA2D39A57B1EB034A28EBD35367FA4CCD832CF74F80C464D03CA2AF0547CBCF
• 515C7E4F8048813CAFCDEBD915D72E9ACDEC588201B6E941422717D4F80753766EFA0462B8BD

Data Leak Site

• krybitxdpxohsmjooeb3gbgpmdddreh6mnflzac6bnezz74b7yje67yd.onion
• oaptxiyisljt2kv3we2we34kuudmqda7f2geffoylzpeo7ourhtz4dad.onion
• Ransomocmou6mnbquqz44ewosbkjk3o5qjsl3orawojexfook2j7esad.onion
• zohlm7ahjwegcedoz7lrdrti7bvpofymcayotp744qhx6gjmxbuo2yid.onion