Російська банда програм-вимагачів починає співпрацювати з китайськими хакерами
На російських форумах щодо кіберзлочинності назріває незвичайна активність, на якій спостерігали, як хакери спілкувалися з китайськими загрозами для співпраці.
Дослідники безпеки Flashpoint, фірми з розвідки загроз, помітили значне зростання активності акторів, які розмовляють китайською мовою, на російському хакерському форумі під назвою RAMP і кількох спільнотах Dark Web.
Було помічено, що китайських дійових осіб заохочують ділитися різними порадами, брати участь у дискусіях та співпрацювати в кібератаках.
Flashpoint також повідомив, що росіяни відкрили двері для численних кіберзлочинців, які розмовляють англійською та китайською мовою, у доменах, які раніше були обмежені лише для них.
У звіті Flashpoint також згадується:
«У жовтні адміністратори Ramp внесли зміни в інтерфейс форуму, які зробили його доступнішим для китайськомовних та англомовних загроз»,
Китайські загрози присутні на російських хакерських форумах
Російські хакерські панелі тепер доступні також китайською та англійською мовами, крім російської. Крім того, адміністратори часто звертаються до форумчан англійською мовою.
Коментарі та контент англійською мовою стають все більш відомими серед російських кіберзлочинців. Високопоставлені члени форуму та адміністратори намагаються взаємодіяти з китайськомовними учасниками за допомогою машинної китайської мови.
Крім того, дослідники виявили на форумі близько 30 китайських загроз. Вони припускають, що велика ймовірність того, що росіяни зроблять це, щоб спробувати встановити альянс з китайськими хакерами для запуску різних кібератак, можливо, проти американців, торговельної схильності або вбудованих кіберзлочинців для операцій-вимагачів як послуги (RaaS).
Було повідомлено, що цю дію ініціював Каджіт, який є адміністратором RAMP, який стверджував, що нещодавно відвідав Китай і може говорити китайською мовою.
Однак співпраця російських і китайських суб'єктів загрози не обмежується лише RAMP. Подібна співпраця була відзначена на “XSS forum" Flashpoint.
Нове дослідження Flashpoint пояснило:
«На знімку екрана нижче користувач XSS «hoffman» вітає двох учасників форуму, які виявилися китайцями»,
«Актор загрози запитує їх, чи можуть вони надати інформацію про програм-вимагач і придбання різного роду вразливостей системи. Здається, мова – це китайська з машинним перекладом».
Джерело: Flashpoint
У попередньому місяці «Orange» або «boriselcin», який є адміністратором RAMP, а також керує сайтом під назвою Groove, закликав кіберзлочинців націлюватися на Сполучені Штати.
Після того, як публікація була висвітлена в ЗМІ, адміністратор заявив, що це була фейкова операція і була опублікована лише для маніпулювання безпекою та засобами масової інформації.
Російські загрози – не єдині, хто бажає націлити США на кібератаки. Раніше іранські хакери також атакували американські організації за допомогою програм-вимагачів.
Дослідники кібербезпеки Intel 471 і McAfee зазначили, що актор загрози лише намагався приховати це, оскільки спроба атаки RaaS пройшла не так, як прогнозувалося.
Нещодавній допис Conti, який розповсюджував програмне забезпечення-вимагання на RAMP, згадував про необхідність наймати партнерів і придбати початковий шлях до мереж. У банді зазначають, що вони воліють працювати лише з російськими кіберзлочинцями, але готові зробити виняток для китайських загроз.
Це оголошення російською мовою, тому що ми працюємо лише з російськомовними. АЛЕ, з поваги до адміністратора, ми зробимо виняток для користувачів, які розмовляють китайською мовою, і навіть перекладемо це повідомлення китайською (ви навіть можете продублювати його китайською та канотонською мовами!)» – операція Conti ransomware.
Джерело: BleepingComputer
З цього випливає, що хакерський форум RAMP заохочує користувачів, які розмовляють китайською мовою, до атак.