Group-IB раскрыла подпольный рынок W3LL Store, прикрывающий кибератаки на корпорации.

Внимание мирового сообщества привлек новый отчет ИБ-компании Group-IB. Исследование раскрывает детали деятельности W3LL, субъекта угрозы, который до сих пор оставался в тени. Основной фокус W3LL — корпоративные аккаунты Microsoft 365.

Команда Group-IB начала отслеживать W3LL с 2017 года и с тех пор фиксировала активность группы. Отчет подтверждает, что W3LL сыграла ключевую роль в компрометации корпоративных аккаунтов Microsoft 365. С октября 2022 по июль 2023 года было атаковано более 56 000 таких аккаунтов в США, Австралии и Европе.

Подпольный рынок W3LL Store

Не менее интересным является создание W3LL своего подпольного рынка — W3LL Store. Площадка предлагает киберпреступному сообществу из минимум 500 хакеров широкий ассортимент инструментов для кибератак. Среди них — фишинговый набор W3LL Panel, способный обходить двухфакторную аутентификацию (2FA), и 16 других настраиваемых инструментов для проведения BEC-атак (Business Email Compromise, BEC).

По оценкам Group-IB, оборот W3LL Store за последние 10 месяцев мог достичь порядка $500 000, что подчеркивает успешность и эффективность деятельности киберпреступной группы.

Жертвы BEC-атак с использованием инструментов W3LL

Отчет Group-IB также высвечивает проблемы в политике безопасности со стороны Microsoft. Эксперты критикуют компанию за недостаточную прозрачность и ответственность в вопросах кибербезопасности.

В Group-IB подчеркнули, что синдикат W3LL создал не просто подпольный рынок, а целую экосистему для киберпреступлений. W3LL предлагает комплексный набор инструментов, который может быть использован киберпреступниками разного уровня подготовки. Отчет Group-IB является важным предупреждением для корпоративного сектора и правоохранительных органов. Документ акцентирует внимание на необходимости ужесточения мер безопасности, особенно в отношении корпоративных аккаунтов Microsoft 365.

Источник: securitylab