Firma wywiadowcza Blockchain TRM Labs ujawniła, że niektóre duże powiązane z Rosją syndykaty ransomware zmieniły swoją działalność w 2022 r., aby uniknąć sankcji ze strony krajów zachodnich.
Według nowa raport opublikowany niedawno, rebranding i inne znaczące działania wykazały znaczące zmiany w przestrzeni cyberprzestępczej i rynkach Darknet (DNM) po rosyjskiej inwazji na Ukrainę.
Operatorzy ransomware zmienili markę, aby uniknąć sankcji
W następstwie rosyjskiej inwazji na Ukrainę kilka zachodnich organów ścigania nałożyło ostrzejsze sankcje na rosyjskie platformy ransomware.
Podobnie, sankcje nałożone przez amerykańskie Biuro Kontroli Aktywów Zagranicznych (OFAC) na popularną platformę Darknet Hydra, odbiło się na projektach ransomware, które walczyły o zdobyć dominacja na rynku jednocześnie unikając organów ścigania.
Aby wzmocnić swoją anonimowość poprzez zmiany w zachowaniu w łańcuchu, dwa główne syndykaty ransomware, LockBit i Conti, zrestrukturyzowały swoją działalność.
Dzięki analizie łańcucha TRM, raportom open source i zastrzeżonym informacjom firma wywiadowcza odkryła, że Conti zaprzestał swojej pierwotnej działalności i przekształcił się w trzy mniejsze grupy o nazwach Black Basta, BlackByte i Karakut. Przed dywersyfikacją Karakut był pobocznym projektem prowadzonym przez operatorów Conti.
Z drugiej strony LockBit zmienił nazwę swojej działalności od inwazji na Ukrainę w lutym ubiegłego roku. Cztery miesiące później syndykat uruchomił LockBit 3.0, który według niego był apolityczny i skupiał się na zyskach pieniężnych.
„Twierdzenie LockBit, że nie miał zamiaru celowo atakować krajów zachodnich, mogło być motywowane możliwością nałożenia zachodnich sankcji na rosyjskie podmioty. Ponadto LockBit oświadczył, że zakazał ataków na podmioty związane z infrastrukturą krytyczną, prawdopodobnie w celu zminimalizowania ryzyka uwagi organów ścigania i potencjalnych sankcji” – powiedział TRM.
Zachodnie sankcje miały niewielki wpływ na DNM
Ponadto analiza TRM również wykazała znaczny wzrost w korzystaniu z rosyjskojęzycznych rynków Darknet. Z powodu sankcji nałożonych na DNM przestępcy uciekli na powiązane z Rosją platformy, aby uniknąć zachodnich organów ścigania.
Łącznie rosyjskojęzyczne rynki darknetu odnotowały kilka okresów trwałego wzrostu między kwietniem-lipcem a październikiem-grudniem 2022 r. Do końca roku zgromadziły ponad 130 mln USD sprzedaży.
Binance Free 100 $ (ekskluzywne): Użyj tego linku zarejestrować się i otrzymać 100 $ za darmo i 10% zniżki na opłaty na Binance Futures w pierwszym miesiącu (REGULAMIN).
Oferta specjalna PrimeXBT: Użyj tego linku aby się zarejestrować i wprowadzić kod POTATO50, aby otrzymać do 7,000 $ na swoje depozyty.
Źródło: https://cryptopotato.com/russian-ransomware-projects-rebranded-to-avoid-western-sanctions-report/