У киберпреступников появилась особо агрессивная схема давления на жертв: к классическому вымогательству через шифровальщики добавились запугивание семей, травля и ложные вызовы спецназа по адресу руководителей компаний. В результате под удар попадает не только бизнес, но и личная безопасность людей, которые к ИТ-рискам напрямую не относятся.
Группировка Scattered Lapsus ShinyHunters (SLSH), специализирующаяся на взломах корпоративных сетей и распространении программ-вымогателей, выстроила целую стратегию психологического терроризирования. Если компания отказывается платить, хакеры переходят от переписки по электронной почте к прямым угрозам в отношении топ-менеджеров и их близких. В ряде случаев они заявляют, что могут спровоцировать силовой рейд — вызвать на дом спецназ или другие силовые структуры, сообщив о якобы происходящем преступлении по адресу жертвы.
Особенно цинично то, что формально именно пострадавшая сторона несет риск ответственности за ложный вызов. Для правоохранителей «инициатором» инцидента сначала выглядит тот, чей адрес фигурирует в обращении. Пока не станет ясно, что вызов был злонамеренной подставой, жители квартиры или дома проходят как участники инцидента, и это может быть сопряжено с силовым входом, обыском и серьезным стрессом для всех присутствующих.
Параллельно с запугиванием SLSH разворачивает информационное давление. Хакеры активно передают журналистам подробные сведения о масштабах взлома, типах и объемах похищенных данных. Их расчет прост: чем громче скандал, тем выше давление на руководство компании, которое боится потери клиентов, обвала репутации и возможных регуляторных проверок. Для многих организаций публичность инцидента становится не менее болезненной, чем сам факт шифрования или утечки.
Традиционно многие группы вымогателей стараются поддерживать некую «деловую репутацию» в криминальном мире: если жертва заплатила, ей выдают ключ для расшифровки файлов или действительно удаляют украденные данные. Такой «кодекс» нужен им для того, чтобы будущие жертвы верили в смысл переговоров. SLSH выбивается из этого ряда. По оценке экспертов, это разрозненная англоязычная банда, которая не стремится к предсказуемому поведению и не пытается убедить рынок в своей «надежности» — наоборот, демонстративная непредсказуемость используется как дополнительный инструмент давления.
Исследователи, отслеживающие деятельность SLSH и отдельных ее участников, отмечают, что группа сочетает сразу несколько видов шантажа. Классический элемент — публикация образцов украденных документов, баз данных или внутренней переписки с таймером обратного отсчета. Жертве показывают, что данные действительно у злоумышленников, а затем запускают часы: если к определенному сроку не будет выплаты, весь массив информации продается или выкладывается в открытый доступ.
Но на этом «арсенал» не заканчивается. Хакеры устраивают почти театрализованные кампании вокруг своих атак: уведомляют не только руководство и ИТ-службу, но и отдельных членов совета директоров, топ-менеджеров, иногда — медиаперсон, связанных с брендом. В ход идут DDoS-атаки на официальный сайт компании, массовые рассылки писем сотрудникам и партнерам, попытки поссорить руководство с акционерами на фоне информационного кризиса.
По наблюдениям специалистов, граница между киберпреступлением и прямым реальным насилием в таких кейсах почти стирается. Помимо угроз в сети, жертвам могут названивать на личные телефоны, писать в мессенджеры их супругам, детям, родителям. В сообщениях упоминаются домашние адреса, маршруты детей в школу, распорядок дня — все, что призвано убедить: злоумышленники действительно «наблюдают» и готовы перейти к действиям вне цифрового мира.
Отдельный элемент тактики SLSH — использование социальной инженерии в реальном времени. В одном из описанных сценариев участники группы представлялись сотрудниками службы технической поддержки и по телефону убеждали работников компаний-жертв «подтвердить» или «обновить» параметры многофакторной аутентификации. Получив коды, они заходили в корпоративные аккаунты как легитимные пользователи, обходя стандартные меры защиты и получая доступ к критически важным внутренним системам.
Многие пострадавшие организации узнают о взломе уже постфактум — не из внутренних логов или системы мониторинга, а из угроз, поступающих в специально созданных хакерами групповых чатах. Там SLSH выкладывает доказательства вторжения, фрагменты украденных данных и одновременно выдвигает ультиматум. Если реакция компании недостаточно быстрая или она отказывается обсуждать выкуп, риторика почти сразу переходит к запугиванию, включая угрозы физической расправы и ложные вызовы силовым структурам.
Такая эскалация показывает, как меняется сам характер вымогательства. Если раньше целью было «максимально монетизировать» цифровой взлом, не выходя за рамки онлайн-давления, то теперь злоумышленники используют любой инструмент, который способен сломить сопротивление: от информационных сливов до реальных вмешательств в частную жизнь. По сути, речь идет уже не о чистом киберпреступлении, а о гибридной форме шантажа с элементами терроризирования жертв.
Для компаний это меняет правила игры. Недостаточно просто выстроить систему резервного копирования и план восстановления после атак шифровальщиков. Нужно готовиться к сценарию, в котором киберинцидент перерастает в кризис безопасности для топ-менеджмента и их семей. Это означает необходимость тесного взаимодействия с правоохранительными органами, формирования протоколов на случай угроз физического характера и информирования охранных служб о рисках ложных вызовов по домашним адресам руководителей.
Важная часть защиты — обучение персонала. Социальная инженерия по телефону, имитация внутренних ИТ-сервисов, просьбы «срочно подтвердить одноразовый код» — все это должно распознаваться на уровне базовых навыков любого сотрудника, имеющего доступ к критичной инфраструктуре. Регулярные тренинги, симуляции фишинговых атак и четкие процедуры верификации запросов от «службы поддержки» могут многократно снизить шансы успешного проникновения.
Еще один ключевой аспект — политика публичных коммуникаций. Разобравшиеся с подобными атаками специалисты отмечают: попытка «замолчать» инцидент часто играет на руку вымогателям. Чем сильнее компания боится огласки, тем эффективнее работают угрозы публикации данных и контакты хакеров с журналистами. Прозрачная, заранее проработанная стратегия информирования клиентов, партнеров и регуляторов способна заметно сузить пространство для шантажа.
Также имеет смысл заранее продумать юридическую и страховую составляющую. Организациям стоит оценить, какие последствия может иметь утечка или шифрование данных с точки зрения законодательства, и прописать в договорах с ключевыми партнерами и подрядчиками порядок совместных действий в случае киберинцидента. Страхование киберрисков, хотя и не решает проблему, может смягчить финансовые последствия и обеспечить доступ к профильным кризисным консультантам.
Отдельного внимания требует защита личного пространства руководителей. Речь идет не только о стандартной физической охране, но и о цифровой гигиене: минимизации утечки их домашних адресов, номеров телефонов и данных членов семьи в открытом доступе. Чем меньше подобной информации можно собрать из открытых источников, тем сложнее злоумышленникам выстраивать убедительную линию запугивания.
Наконец, принципиальная позиция по отношению к выкупу остается ключевой. Многие эксперты сходятся во мнении, что оплата вымогателям не гарантирует ни сохранности данных, ни прекращения преследования — особенно в случае с такими группами, как SLSH, для которых нарушение любых «джентльменских договоренностей» с жертвами является частью стиля. Каждое успешное получение выкупа лишь подталкивает преступников к расширению практики и повышению ставок, включая угрозы реального насилия и ложные вызовы спецназа.
Эволюция методов SLSH демонстрирует общий тренд: киберпреступления становится все труднее рассматривать как сугубо технологическую проблему. Это уже комплексный риск, затрагивающий репутацию, финансовую устойчивость, правовую позицию и физическую безопасность людей. И чем раньше компании начнут относиться к нему именно как к многомерному кризису, а не просто к «сбою в ИТ», тем выше их шансы пройти через подобные атаки с минимальными потерями.
