🔓 OSINT ресурсы для исследования программ-вымогателей.
• Как известно, шифровальщики стали неизбежной, «фоновой» реальностью работы многих компаний по всему миру — а удачные атаки и многомиллионные суммы выкупа только подогревают этот сектор.
• Схемы распространения шифровальщиков бывают разными: одни выбирают весьма своеобразные (
https://t.me/Social_engineering/2081) методы, а другие придерживаются стандартных вариантов. Однако и те, и другие получают успешный (для атакующих) результат и шифруют данные.
• В этой публикации представлен ряд полезных источников, которые помогут узнать много нового о шифровальщиках и научиться искать полезную информацию в ходе расследования инцидентов:
• Разведка:
➡Ransomlook (
https://www.ransomlook.io/) - хранилище контента (форумы, утечки, профили участников различных групп и многое другое).
➡DeepdarkCTI (
https://github.com/fastfire/deepdark...omware_gang.md) - информация об актуальных угрозах и хакерских группировках, позволяет нам изучить цели, тактику, методы и различные инструменты, которые применяются на этапе разведки и проникновения.
➡ID Ransomware (
https://id-ransomware.blogspot.com/2024/09/) - блог независимого эксперта. Можно найти информацию по менее известным группировкам и атакам. Подача материала своеобразная, но найти что-то полезное можно.
➡Ransomware.Live (
https://ransomware.live/) - новости о шифровальщиках, их жертвах и переписках с ними, а также красивая статистика и инфографика.
➡Ransomwarehelp на Reddit (
https://www.reddit.com/r/ransomwarehelp/) - сообщество на Reddit, с полезным контентом и актуальной информацией.
➡No More Ransom (
https://www.nomoreransom.org/ru/index.html) - ресурс от Европола с полезными советами по предотвращению Ransomware. У них есть бесплатные декрипторы (
https://www.nomoreransom.org/ru/decryption-tools.html) для многих штаммов программ-вымогателей, которые были перепроектированы экспертами Европола.
➡Ransomware Map (
https://github.com/cert-orangecyberd...system-map.pdf) - визуализацию крупных атак программ-вымогателей на протяжении всего времени.
• Крипта:
➡Ransomwhere (
https://ransomwhe.re/) - сайт, позволяющий отследить все выкупы жертв шифровальщиков.
➡opensanctions (
https://www.opensanctions.org/datasets/ransomwhere/) - база данных лиц и компаний, попавших под санкции или представляющих экономический и политический интерес.
➡Chainabuse (
https://www.chainabuse.com/category/ransomware) - платформа для отчетов о злоупотреблениях в блокчейне.
➡BitcoinHeist Ransomware Dataset (
https://www.kaggle.com/datasets/sape...omware-dataset) - коллекция BTC адресов, которые фигурировали в различных старых отчетах и исследованиях. Довольно старый контент и не очень полезен для исследователей в настоящее время, но может быть использован для исторического контекста.
• Новости и блоги:
➡CISA Alerts & Advisories (
https://www.cisa.gov/news-events/cyb...ity-advisories) - Агентство по кибербезопасности США. Тут очень много контента, поэтому используйте фильтры при поиске новостей и другой информации.
➡Halcyon Power Rankings (
https://www.halcyon.ai/top-ransomware-groups) - тут публикуются ежеквартальные отчеты из мира Ransomware.
➡Ransom Groups DarkFeed (
https://darkfeed.io/ransomgroups/) - ежеквартальная статистика различных группировок и атак.
• Другие полезные ресурсы:
➡Ransomchats (
https://ransomch.at/) - авторы собирают пруфы с помощью парсеров и выкладывают их на сайте. Каждый контакт с группировкой оформлен в JSON-файл. Обычно названия компаний-жертв не называются. Во всяком случае, они остаются анонимными, пока об инциденте не расскажут СМИ или злоумышленники.
➡Tidalcyber (
https://app.tidalcyber.com/share/9a0...d-b73003eb2d6a) - техники, тактики и процедуры, которые относятся к определенным группам шифровальщиков. Информация представлена в виде красивой матрицы в структурированном виде, с пруфами и сигма-правилами.
➡Архитектура Шифровальщика (
https://t.me/Social_engineering/1980) - как хакеры шифруют огромный объем данных за считаные минуты...
S.E. (
https://t.me/Social_engineering) ▪️ infosec.work (
https://t.me/+owNymgMzqsg4ZDEy) ▪️ VT (
https://t.me/SE_VirusTotal_bot)