НАЗАД К НОВОСТЯМ
ИсследованияВысокий

Scattered Lapsus Shiny Hunters: Почему выплата выкупа разжигает эскалацию кибервымогательства

4 мин чтенияИсточник: Krebs on Security
Cybercriminal in hoodie using laptop with ransomware extortion messages and Telegram logos on screen

Группа SLSH усиливает давление на жертв с помощью психологической войны, угроз и манипуляций. Узнайте, почему эксперты рекомендуют отказаться от выплат и как защититься от новых тактик кибервымогателей.

SLSH усиливает тактики программ-вымогателей с помощью психологической войны

Печально известная группа кибервымогателей Scattered Lapsus Shiny Hunters (SLSH) приняла на вооружение агрессивную стратегию давления на жертв с целью вынудить их выплатить выкуп. Группа сочетает кражу данных, преследование, сваттинг и манипуляции в СМИ. В отличие от традиционных банд программ-вымогателей, SLSH использует личные угрозы в адрес руководителей и их семей, скоординированные DDoS-атаки и уведомления регуляторов, чтобы усилить давление. Хотя некоторые жертвы, как сообщается, платят — либо для сдерживания утечки данных, либо для прекращения эскалации атак — эксперты по кибербезопасности утверждают, что любое взаимодействие, кроме твёрдой позиции «не платить», только поощряет дальнейшие злоупотребления.

Технический анализ: Как действует SLSH

Тактики SLSH отличаются от традиционных операций программ-вымогателей по нескольким ключевым аспектам:

  • Первоначальный доступ: Группа проникает в системы через фишинг по телефону, выдавая себя за ИТ-сотрудников, чтобы обманом заставить сотрудников раскрыть учётные данные SSO и коды MFA. Компания Google Mandiant сообщила, что недавние атаки SLSH (январь 2026 года) включали фишинговые сайты под бренд жертв, созданные для кражи аутентификационных данных.

  • Эскалация вымогательства: О взломе жертвы узнают, когда SLSH публично называет их в Telegram, часто сопровождая это:

    • Сваттинг-атаками (ложные сообщения о бомбах или захватах заложников для вызова вооружённого полицейского реагирования).
    • Массовой рассылкой писем, SMS и звонков, чтобы парализовать каналы связи.
    • Негативными PR-кампаниями через обращения в СМИ.
    • Жалобами регуляторам для усиления репутационного ущерба.

  • Психологическая война: SLSH атакует семьи руководителей, угрожает членам совета директоров и манипулирует журналистами, создавая непрерывное состояние кризиса. Эллисон Никсон, директор по исследованиям в Unit 221B, отмечает, что стратегия группы напоминает схемы сексшантажа, где требуется выполнение условий без доказательств удаления данных.

Чем SLSH отличается от традиционных банд программ-вымогателей

В отличие от дисциплинированных российских аффилиатов программ-вымогателей (например, LockBit, ALPHV), SLSH действует как неструктурированная англоязычная группа без постоянной оперативной безопасности. Основные отличия включают:

  • Ненадёжные обещания: У SLSH нет подтверждённой истории соблюдения соглашений о выкупе, например, удаления украденных данных. Никсон предупреждает, что выплаты лишь подтверждают ценность украденных наборов данных, которые позже могут быть использованы для мошенничества.

  • Внутренняя нестабильность: Члены группы происходят из The Com — экосистемы Discord/Telegram, известной внутренними конфликтами, предательствами и злоупотреблением психоактивными веществами. Эта нестабильность подрывает способность SLSH проводить масштабные профессиональные операции с программами-вымогателями.

  • Манипуляции со СМИ: SLSH активно привлекает внимание прессы, даже угрожая смертью исследователям (включая Никсон и журналиста Брайана Кребса), чтобы создать ажиотаж и усилить давление на жертв.

Анализ последствий: Риски взаимодействия с SLSH

Исследование Unit 221B подчёркивает опасности переговоров с SLSH:

  • Эскалация преследования: Выплаты стимулируют дальнейшие атаки, включая физические угрозы в адрес сотрудников и их семей.

  • Отсутствие гарантий: SLSH не может подтвердить удаление данных, а украденные наборы данных могут вновь появиться в операциях мошенничества.

  • Долгосрочные последствия: Жертвы, которые платят, подкрепляют действия группы, в то время как те, кто отказывается, со временем перестают подвергаться преследованию.

Рекомендации для организаций-мишеней

Эксперты по безопасности советуют следующие шаги в случае атаки SLSH:

  1. Не вступайте в переговоры: Избегайте любых обсуждений, кроме твёрдой позиции «не платить», чтобы лишить SLSH рычагов давления.
  2. Мониторинг индикаторов компрометации (IoC):
    • Следите за угрожающими упоминаниями исследователей (например, Эллисон Никсон, Брайан Кребс) или компаний по кибербезопасности (например, Unit 221B) в сообщениях.
    • Отслеживайте каналы SLSH в Telegram на предмет публичных угроз или утечек данных.
  3. Реагирование на инциденты:
    • Изолируйте поражённые системы и отзовите скомпрометированные учётные данные.
    • Уведомляйте правоохранительные органы (например, ФБР, CISA) о случаях сваттинга или физического преследования.
    • Готовьтесь к запросам СМИ с заранее утверждённым заявлением, чтобы минимизировать репутационный ущерб.
  4. Юридическая и PR-подготовка:
    • Координируйте действия с юридическими консультантами для работы с уведомлениями регуляторов.
    • Инструктируйте руководителей и их семьи о возможных тактиках преследования.

Заключение: Единственный выигрышный ход — не играть

Нестабильная модель вымогательства SLSH, основанная на преследовании, представляет опасную эволюцию тактик программ-вымогателей. В отличие от традиционных банд, полагающихся на шифрование и ключи дешифрования, подход SLSH чисто психологический, использующий страх, давление СМИ и физические угрозы для принуждения к выплатам. Совет Никсон однозначен: Отказ от выплат — самый эффективный способ лишить группу рычагов давления и защитить как данные, так и личную безопасность.

Для получения дополнительной информации ознакомьтесь с отчётом Mandiant за январь 2026 года о недавних атаках SLSH.

Поделиться

TwitterLinkedIn