Журналисты издание The Record заметили, что операторы малвари AvosLocker создали на своем сайте специальную систему, с помощью которой планируют продавать с аукциона данные взломанных компаний, если те отказались заплатить выкуп.

Фото: The Record

Группировка AvosLocker применяет «в работе» ставшую уже классической тактику двойного вымогательства. То есть преступники не просто шифруют данные своих жертв, но также публикуют украденные у компаний файлы, если те отказываются заплатить выкуп. Впервые такой подход был использован операторами вымогателя Maze в конце 2019 года, когда группировка стала похищать файлы у взломанных компаний перед их шифрованием. Теперь таким образом действуют практически все вымогательские группировки.

AvosLocker не была исключением: группа, впервые обнаруженная в июле 2021 года, тоже использовала эту схему, и за лето 2021 года опубликовала на своем сайте данные нескольких жертв, которые отказались платить или вести переговоры после атаки.

Но в середине сентября хакеры запустили переработанную версию своего сайта, который теперь обзавелся новой функцией аукциона. Теперь хакеры не «сливают» украденную у жертв информацию бесплатно, но продают эти данные с аукциона, пытаясь получить прибыль даже от неудачных атак. Журналисты отмечают, что это умный ход, дело в том, что данные, бесплатно опубликованные вымогателями, после регулярно перепродаются в Telegram-каналах и на андеграундных форумах.

Также нужно сказать, что AvosLocker — не первая хак-группа, добавившая на свой сайт функциональность аукциона. Скорее всего, хакеры вдохновились опытом вымогателя REvil, который первым использовал эту тактику в июне 2020 года.

The Record отмечает, что хорошая новость в данном случае состоит в том, что AvosLocker, к счастью, не входит в список наиболее активных и эффективных вымогателей. Согласно данным ID-Ransomware, AvosLocker осуществляет лишь около 10 атак в неделю.

Источник: xakep