На русскоязычных форумах по борьбе с киберпреступностью назревает некоторая необычная активность, где хакеры, похоже, обращаются к китайским коллегам для сотрудничества.
Эти попытки привлечь китайских злоумышленников в основном видны на хакерском форуме RAMP, который побуждает говорящих на китайском языке актеров участвовать в обсуждениях, делиться советами и сотрудничать в борьбе с атаками.
Китайские пользователи на русскоязычных форумах
Согласно новому отчету Flashpoint, высокопоставленные пользователи и администраторы RAMP сейчас активно пытаются общаться с новыми участниками форума на китайском с машинным переводом.
Сообщается, что на форуме было зарегистрировано не менее тридцати новых пользователей из Китая, так что это может стать началом чего-то примечательного.
Исследователи предполагают, что наиболее вероятная причина заключается в том, что российские банды программ-вымогателей стремятся создать альянсы с китайскими игроками для проведения кибератак против целей в США, обмена уязвимостями или даже привлечения новых специалистов для своих операций по программе-вымогателю как услуге (RaaS). .
Аналитик угроз сообщил BleepingComputer ранее в этом месяце, что эта инициатива была инициирована администратором RAMP, известным как Kajit, который утверждает, что недавно провел некоторое время в Китае и может говорить на этом языке.
В предыдущей версии RAMP он намекнул, что будет приглашать китайских злоумышленников на форум, который, похоже, сейчас и происходит.
Однако российские хакеры, пытающиеся сотрудничать с китайскими злоумышленниками, не ограничиваются хакерским форумом RAMP, поскольку Flashpoint также видел подобное сотрудничество на хакерском форуме XSS.
«На скриншоте ниже пользователь XSS« hoffman »приветствует двух участников форума, которые оказались китайцами», — объясняет новое исследование Flashpoint.
«Злоумышленник спрашивает их, могут ли они предоставить информацию о программах-вымогателях и покупке различных уязвимостей системы. Судя по всему, это китайский язык с машинным переводом».
Основываясь на предыдущей истории, связанной с администраторами RAMP, Flashpoint подчеркивает, что всегда есть вероятность того, что это просто дымовая завеса, поскольку настоящие китайские пользователи не присоединились к RAMP.
В прошлом месяце администратор RAMP, известный как ‘Orange’ или ‘boriselcin’ и управляющий сайтом Groove, опубликовал сообщение, в котором призвал злоумышленников атаковать США.
После того, как СМИ осветили этот пост, в том числе BleepingComputer, актер Groove заявил, что операция была фальшивкой с самого начала и была создана для троллинга и манипулирования исследователями СМИ и безопасности.
Исследователи в области безопасности из McAfee и Intel 471 полагают, что это, скорее всего, просто злоумышленник, пытающийся скрыть тот факт, что попытка злоумышленника с использованием программы-вымогателя как услуги не сработала, как планировалось.
В связи с этим предварительные действия администратора RAMP требуют, чтобы мы относились ко всему, что они говорят, с некоторым скептицизмом.
Тем не менее, операция вымогателя Conti недавно разместила сообщение на форуме RAMP, чтобы привлечь аффилированных лиц и купить первоначальный доступ к сетям. На скриншоте, предоставленном BleepingComputer, банда говорит, что обычно они работают только с русскоязычными хакерами, но делают исключение для китайскоязычных злоумышленников из уважения к администратору RAMP.
«Это объявление на русском языке, потому что мы работаем только с русскоговорящими. НО, из уважения к администратору, мы сделаем исключение для китайскоязычных пользователей и даже переведем это сообщение на китайский язык (вы даже можете дублировать его на мандаринском и китайском языках). Canotonese!) »- операция вымогателя Conti.
Таким образом, похоже, что форум RAMP активно приглашает говорящих по-китайски лиц, создающих угрозы, для участия в обсуждениях и атаках.
RAMP продолжает расти
Теперь, когда RAMP снова в сети, он, похоже, неуклонно растет, несмотря на волны DDOS, которые он выдержал вскоре после его запуска.
RAMP была создана прошлым летом одним из основных членов первоначальной банды вымогателей Babuk с целью служить новым местом для утечки ценных данных, украденных в результате кибератак, и вербовки партнеров, связанных с программами-вымогателями.
Заметный случай такой утечки произошел в сентябре, когда администратор RAMP опубликовал 498 908 учетных данных Fortinet VPN для доступа к 12 856 устройствам в различных корпоративных сетях.
Хотя многие из этих учетных данных были старыми, исследователи безопасности заявили, что многие из учетных данных все еще действительны и позволили форуму RAMP заработать репутацию в этой области.
Flashpoint сообщает, что RAMP достигла своей третьей итерации с использованием нового домена .onion и требует от всех бывших пользователей перерегистрации.
Последнее обновление 05.01.2023
