Активная банда по выкупу данных, называющая себя Разбросанные блестящие охотники-лапсусы (SLSH) использует особую уловку, когда хочет вымогать деньги у фирм-жертв: преследование, угрозы и даже нападения на руководителей и их семьи, одновременно информируя журналистов и регулирующие органы о масштабах проникновения. Сообщается, что некоторые жертвы платят – возможно, чтобы скрыть украденные данные и остановить рост личных нападений. Но ведущий эксперт SLSH предупреждает, что любое вмешательство, выходящее за рамки ответа «мы не платим», только поощряет еще большее преследование, отмечая, что разрушительная и ненадежная история группы означает, что не платить — единственный выигрышный ход.
Изображение: Shutterstock.com, @mungujakisa
В отличие от традиционных, строго регулируемых филиалов программ-вымогателей в России, SLSH представляет собой нерегулируемую и несколько подвижную англоязычную сеть вымогателей, которая, судя по всему, не заинтересована в построении репутации благодаря последовательному поведению, которое может привести жертв к некоторой степени уверенности в том, что преступники сдержат свое слово, если им заплатят.
согласно Элисон НиксонДиректор по исследованиям нью-йоркской консалтинговой компании по безопасности Unit 221B. Никсон внимательно отслеживает преступную группу и отдельных ее членов, когда они переключаются между различными каналами Telegram, используемыми для вымогательства и преследования жертв, и он сказал, что SLSH отличается от традиционных групп по выкупу данных в других важных аспектах, что не позволяет доверять им делать то, что они обещают, — например, уничтожать украденные данные.
Как и SLSH, многие традиционные российские группы, занимающиеся вымогательством, применяют тактику сильного давления, требуя оплаты в обмен на ключи дешифрования и/или обещания удалить украденные данные, например, публикуя постыдный блог в даркнете с образцами украденных данных рядом с часами обратного отсчета или информируя журналистов и членов совета директоров компании-жертвы. Но Никсон сказал, что вымогательство со стороны SLSH быстро выходит за рамки этого – включая угрозы физического насилия в отношении офицеров и их семей, DDoS-атаки на веб-сайты жертв и неоднократные кампании по рассылке электронной почты.
Известно, что SLSH используется сотрудниками для фишинга на телефонах для проникновения в компании и кражи конфиденциальных внутренних данных. В сообщении в блоге от 30 января компания Google, занимающаяся криминалистической безопасностью, Мандиант Последние атаки SLSH с целью вымогательства произошли в результате инцидентов, начавшихся в середине января 2026 года, когда члены SLSH выдавали себя за ИТ-сотрудников и звонили сотрудникам целевых организаций-жертв, утверждая, что компания обновляет настройки MFA.
«Злоумышленник направил сотрудников на сайты сбора учетных данных жертвы, чтобы получить их учетные данные SSO и коды MFA, а затем зарегистрировал свое устройство для MFA», — поясняется в сообщении в блоге.
Жертвы часто впервые узнают о взломе, когда название их бренда упоминается в новом недолговечном общедоступном групповом чате Telegram, который SLSH использует для угроз, вымогательства и преследования своих жертв. По словам Никсона, скоординированное преследование на Telegram-каналах SLSH является частью запланированной стратегии, направленной на подавление организации-жертвы путем создания оскорблений, которые выведут их за рамки оплаты.
Никсон сказал, что несколько офицеров целевых организаций подверглись нападениям с применением ударов, в ходе которых SLSH сообщали о ложной угрозе взрыва или ситуации с заложниками по адресу цели в надежде получить ответную реакцию тяжеловооруженной полиции к их дому или на работе.
«Большая часть того, что они делают с жертвами, — это психологический аспект, например, преследование детей руководителей и угрозы совету директоров компании», — сказал Никсон KrebsOnSecurity. «И хотя эти жертвы получают требования о вымогательстве, они в то же время говорят средствам массовой информации: «Эй, у вас есть какие-нибудь комментарии по поводу плохих вещей, которые мы собираемся о вас написать?»
В сегодняшнем сообщении в блоге Unit 221B утверждает, что никто не должен взаимодействовать с SLSH, поскольку группа продемонстрировала готовность вымогать деньги у жертв на основе обещаний, которые она не намерена выполнять. Никсон объясняет, что все известные члены СЛШ родом отсюда. КомСокращение группы сообществ Discord и Telegram, ориентированных на киберпреступность, которые служат своего рода распределенной социальной сетью, облегчающей мгновенное сотрудничество.
Никсон сказал, что группы вымогательства, базирующиеся на COM, провоцируют драки и драмы между членами групп, что приводит к лжи, предательству, подрыву доверия, нанесению ударов в спину и причинению вреда друг другу.
Никсон писал: «При таком типе постоянной дисфункции, часто усугубляемой злоупотреблением психоактивными веществами, эти субъекты угроз часто не могут действовать с первоначальной целью – завершить успешную стратегическую операцию по выкупу». «Они постоянно теряют контроль над взрывами, которые угрожают их стратегии и оперативной безопасности, что серьезно ограничивает их способность создавать профессиональную, масштабируемую и сложную сеть преступных организаций для устойчивых успешных выкупов – в отличие от других, более устойчивых и профессиональных преступных организаций, ориентированных только на программы-вымогатели».
Вторжения со стороны известных групп программ-вымогателей обычно связаны с вредоносным ПО для шифрования/дешифрования, которое в основном находится на пораженном компьютере. Напротив, по словам Никсона, структура выкупов от групп COM часто напоминала схемы жестокого вымогательства в отношении несовершеннолетних, в которых члены COM крали компрометирующую информацию, угрожали обнародовать ее и «обещали» удалить ее, если жертва подчинится, без каких-либо гарантий или технических доказательств того, что они сдержат свое слово. Она пишет:
По словам Никсона, ключевым компонентом усилий SLSH по убеждению жертв платить является манипулирование средствами массовой информации с целью пропаганды угрозы, исходящей от этой группы. По его словам, этот подход также заимствует страницу из сборника атак с целью сексуального вымогательства, который побуждает хищников постоянно держать цель в напряжении и беспокоиться о последствиях несоблюдения требований.
«В те дни, когда у SLSH не было крупных криминальных «побед», о которых можно было бы объявить, они сосредоточились на объявлениях об угрозах смертью и преследованиях, чтобы удержать внимание правоохранительных органов, журналистов и специалистов индустрии киберпреступности на этой группе», — сказал он.
Отрывок из руководства по секс-вымогательству на канале Telegram на сайте.com. Изображение: Отряд 221Б.
Никсон кое-что знает об угрозах со стороны SLSH: за последние несколько месяцев Telegram-каналы группы были заполнены угрозами физического насилия в отношении нее, вашего покорного слуги и других исследователей безопасности. По его словам, эти угрозы являются еще одним способом, с помощью которого группа стремится привлечь внимание средств массовой информации и завоевать доверие, но они полезны в качестве индикаторов компрометации, поскольку члены SLSH также называют и дискредитируют исследователей безопасности в своих сообщениях с жертвами.
Совет Unit 221B гласит: «Обратите внимание на следующее поведение в их общении с вами или в их публичных заявлениях». «Неоднократное уничижительное упоминание Элисон Никсон (или «AN»), подразделения 221B или журналистов по кибербезопасности, особенно Брайана Кребса, или любого другого сотрудника по кибербезопасности или компании, занимающейся кибербезопасностью. Любые угрозы убить или совершить терроризм, или насилие в отношении внутренних сотрудников, сотрудников кибербезопасности, следователей и журналистов».
В подразделении 221B говорят, что, хотя кампании давления во время попытки вымогательства могут быть травмирующими для сотрудников, офицеров и членов их семей, вступление в длительные переговоры с SLSH побуждает группу повысить уровень вреда и риска, которые могут включать физическую безопасность сотрудников и их семей.
«Утечка данных никогда не будет прежней, но мы можем заверить вас, что преследование прекратится», — сказал Никсон. «Итак, ваше решение заплатить должно быть отдельным вопросом от преследования. Мы считаем, что когда вы разделите эти вопросы, вы объективно увидите, что лучший образ действий в краткосрочной и долгосрочной перспективе для защиты ваших интересов — это отказ от оплаты».
