Хакерская группа Snatch раскрыла IP посетителей своего сайта

[Artifact]

Хакерская группировка Snatch Ransomware столкнулась с утечкой данных, раскрывающей внутренние операции и истинное местоположение киберпреступнков в интернете. Сайт утечек Snatch не только выдает данные посетителей, но и демонстрирует уязвимости сетевой инфраструктуры. Об этом написало издание KrebsOnSecurity, ссылаясь на проведённый анализ.
Группа Snatch, впервые обнаруженная в 2018 году, публикует украденные данные организаций, отказавшихся платить выкуп, на сайте в открытом Интернете, и также на сайте в Tor-сети. Однако, страница «server status» в даркнет-версии сайта Snatch раскрывает реальные IP-адреса посетителей.

Сайт Snatch работает по центральноевропейскому летнему времени (CET, UTC+1) и на OpenSSL/1.1.1f, который больше не поддерживается обновлениями безопасности
Отмечается, что некоторые IP-адреса, часто посещающие сайт Snatch, связаны с серверами в Екатеринбурге и Москве. На обнаруженных серверах работают не только домены Snatch, но и многочисленные фишинговые домены, имитирующие известные бренды и программное обеспечение.
Дополнительный анализ подтвердил, что группа Snatch использует рекламу Google (Google Ads) для распространения вредоносного ПО, маскируя его под популярные бесплатные программы, такие как Microsoft Teams, Adobe Reader и другие. Интересно, что все фишинговые домены, связанные с группой Snatch, зарегистрированы на одно имя, на которое зарегистрировано более 1 300 доменных имен, половина из которых связана с фишинговыми сайтами, а другая половина — с сайтами эскорт-услуг.
В августе 2023 года исследователи из Trustwave Spiderlabs обнаружили домены используемые для распространения трояна для кражи информации Rilide . В KrebsOnSecurity также заявили, что киберпреступники продают «мошенническую рекламу как услугу» (Malvertising-as-a-Service) в даркнете, что, вероятно, является причиной всплеска вредоносной активности. Такая тенденция поднимает серьезные проблемы безопасности, так как пользователи могут столкнуться с вредоносным ПО, даже просто ища популярные программы в интернете.