Киберпреступное объединение SLSH прибегает к новой тактике запугивания. Помимо распространения программ-шифровальщиков для вымогательства денег, злоумышленники угрожают своим жертвам, их близким родственникам и даже могут инициировать ложный выезд спецподразделений. Ответственность за такой инцидент и его последствия полностью ложится на пострадавшую сторону.
Группировка Scattered Lapsus ShinyHunters (SLSH), специализирующаяся на вредоносном ПО и шифровальщиках, стала использовать более агрессивные методы давления. Киберпреступники целенаправленно преследуют и запугивают членов семей руководителей организаций, которые отказываются перечислять требуемые средства.
Однако этим их действия не исчерпываются. Как сообщает консалтинговая компания в области кибербезопасности Unit 221B, особо несговорчивым пострадавшим поступают угрозы о вызове на их адрес спецназа или иных силовых ведомств.
Одновременно с этим хакеры передают журналистам детальную информацию о масштабах компрометации и объемах похищенных данных. Цель — нанести урон репутации компании, поскольку многие организации стремятся избежать огласки подобных инцидентов, опасаясь оттока клиентов к более защищенным конкурентам.
SLSH известна взломами компаний через телефонный фишинг сотрудников, используя затем полученный доступ для хищения конфиденциальных внутренних данных. В блоге от 30 января компания Mandiant, занимающаяся анализом безопасности в Google, отметила, что последние атаки SLSH на вымогательство связаны с инцидентами начала-середины января 2026 года. Тогда члены группировки, представляясь ИТ-специалистами, звонили сотрудникам целевых компаний под предлогом обновления настроек многофакторной аутентификации.
Согласно экспертам Unit 221B, SLSH существенно отличается от большинства групп, занимающихся взломом ради выкупа. Если почти все крупные объединения такого рода дорожат репутацией и предоставляют ключи для расшифровки или удаляют украденные данные, то SLSH действует по иным принципам.
В отчете Unit 221B указано, что SLSH представляет собой неконтролируемую англоязычную банду вымогателей. Их тактика свидетельствует о полном отсутствии заинтересованности в создании репутации надежного оператора, который выполняет обещания после получения платежа.
На это прямо обратила внимание Эллисон Никсон (Allison Nixon), директор по исследованиям Unit 221B. Она занимается мониторингом деятельности как всей группировки SLSH в целом, так и отдельных ее участников.
Группировка SLSH активно применяет те же методы давления на свои жертвы, что и другие хакерские коллективы, стремясь получить выкуп за ключи дешифрования или гарантии удаления похищенной информации. В частности, они регулярно выкладывают в открытый доступ фрагменты украденных данных, сопровождая их таймером, отсчитывающим время до полной публикации или продажи всего массива.
Параллельно SLSH часто оповещает о произошедшем взломе не только журналистов, но и членов совета директоров пострадавшей компании. Однако это лишь незначительная часть их тактики.
Как отмечает Никсон, вымогательство со стороны SLSH очень быстро перерастает эти рамки — оно доходит до прямых угроз физической расправы над руководством и их семьями, организации DDoS-атак на веб-ресурсы жертвы и проведения многочисленных рассылок по электронной почте.
Зачастую организации узнают о компрометации лишь тогда, когда название их бренда внезапно возникает в очередном временном групповом чате Telegram, который SLSH использует как площадку для угроз, шантажа и травли. По словам Никсон, скоординированная атака в Telegram-каналах является элементом продуманной стратегии по деморализации жертвы через публичное унижение, призванное вынудить её заплатить.
Никсон также подчеркнула, что за время активности SLSH несколько топ-менеджеров взломанных компаний стали жертвами так называемого «сваттинга». Речь идёт о заведомо ложных вызовах спецподразделений (в США — SWAT, откуда и происходит термин). Злоумышленники сообщают о минировании или захвате заложников по адресу жертвы, чтобы спровоцировать приезд вооружённой полиции к её дому или офису.
«Значительная часть их действий против жертв имеет психологическую подоплёку: например, преследование детей руководителей или угрозы в адрес совета директоров», — рассказала Никсон изданию KrebsOnSecurity.
Специалисты Unit 221B настоятельно советуют компаниям, подвергшимся атаке SLSH, избегать любых переговоров с этой группировкой. Она неоднократно демонстрировала готовность вымогать деньги, давая обещания, которые не собирается выполнять.
По словам Никсон, важной составляющей давления SLSH на жертв является манипулирование медиа для создания ажиотажа вокруг угроз со стороны группировки. Этот подход заимствует приёмы из практики шантажа интимными материалами, что, как она отметила, позволяет злоумышленникам постоянно держать жертв в состоянии стресса и страха перед последствиями неподчинения.
«В те дни, когда у SLSH не было громких «побед», о которых можно было бы заявить, они концентрировались на угрозах убийством и травле, чтобы отвлечь внимание правоохранительных органов, журналистов и экспертов по киберпреступности от своей деятельности», — добавила Никсон.
В последнее время злоумышленники из группы SLSH направляют угрозы не только своим прямым целям, но и экспертам в области защиты информации. Среди тех, кому они угрожают, — Никсон, а также американский журналист и специалист по кибербезопасности Брайан Кребс (Brian Krebs), создатель ресурса KrebsOnSecurity. По мнению Никсон, эти угрозы — просто ещё один метод, с помощью которого коллектив стремится привлечь внимание средств массовой информации.
