Бесплатно Экспресс-аудит сайта:

29.09.2023

Хакерская группа Snatch раскрыла IP посетителей своего сайта

Хакерская группировка Snatch Ransomware столкнулась с утечкой данных, раскрывающей внутренние операции и истинное местоположение киберпреступнков в интернете. Сайт утечек Snatch не только выдает данные посетителей, но и демонстрирует уязвимости сетевой инфраструктуры. Об этом написало издание KrebsOnSecurity, ссылаясь на проведённый анализ.

Группа Snatch, впервые обнаруженная в 2018 году, публикует украденные данные организаций, отказавшихся платить выкуп, на сайте в открытом Интернете, и также на сайте в Tor-сети. Однако, страница «server status» в даркнет-версии сайта Snatch раскрывает реальные IP-адреса посетителей.

Сайт Snatch работает по центральноевропейскому летнему времени (CET, UTC+1) и на OpenSSL/1.1.1f, который больше не поддерживается обновлениями безопасности

Отмечается, что некоторые IP-адреса, часто посещающие сайт Snatch, связаны с серверами в Екатеринбурге и Москве. На обнаруженных серверах работают не только домены Snatch, но и многочисленные фишинговые домены, имитирующие известные бренды и программное обеспечение.

Дополнительный анализ подтвердил, что группа Snatch использует рекламу Google ( Google Ads ) для распространения вредоносного ПО, маскируя его под популярные бесплатные программы, такие как Microsoft Teams, Adobe Reader и другие. Интересно, что все фишинговые домены, связанные с группой Snatch, зарегистрированы на одно имя, за которым числится более 1 300 доменных имен, половина из которых связана с фишинговыми сайтами, а другая половина — с сайтами эскорт-услуг.

В августе 2023 года исследователи из Trustwave Spiderlabs обнаружили домены используемые для распространения трояна для кражи информации Rilide . В KrebsOnSecurity также заявили, что киберпреступники продают «мошенническую рекламу как услугу» (Malvertising-as-a-Service) в даркнете, что, вероятно, является причиной всплеска вредоносной активности. Такая тенденция поднимает серьезные проблемы безопасности, так как пользователи могут столкнуться с вредоносным ПО, даже просто ища популярные программы в интернете.