По крайней мере, две банды вымогателей, нуждающиеся в хакерах для проведения атак, использовали свои сайты для рекламы функций своих инструментов шифрования с целью привлечения новых сотрудников. Около недели назад банда вымогателей LockBit анонсировала новую версию своего инструмента, заявив о значительном улучшении скорости шифрования. Чтобы подтвердить свое утверждение, злоумышленник, по-видимому, протестировал версии нескольких программ-вымогателей и опубликовал свои измерения скорости шифрования файлов. С запуском LockBit 2.0 разработчики программ-вымогателей также объявили о новом сеансе набора партнеров, подчеркнув, что используемое ими шифрование не дает сбоев с момента начала операции в сентябре 2019 года. «Единственное, что вам нужно сделать, это получить доступ к серверу, а LockBit 2.0 сделает все остальное. Запуск осуществляется на всех устройствах доменной сети при наличии прав администратора на контроллере домена», - заявляет банда вымогателей LockBit. Чтобы привлечь партнеров, LockBit утверждает, что предлагает самые быстрые инструменты для шифрования и кражи файлов (StealBit) «во всем мире».

Другая банда, недавно начавшая продвигать свой продукт у себя сайте - это Himalaya, которая начала свою деятельность в этом году. За исключением использования своего сайта для распространения информации, Himalaya ничем не отличается от других программ-вымогателей. Они предлагают 70% комиссию для аффилированных лиц и «уже настроенную и скомпилированную вредоносную программу FUD [Fully UnDetectable]» для шифрования файлов. Как видно из объявления ниже, Himalaya устанавливает строгие правила в отношении целей и, очевидно, не позволяет атаковать медицинские, общественные и некоммерческие организации.

В настоящее время только LockBit и Himalaya активно рекламируют свою RaaS на веб-сайтах, но другие банды вымогателей также могут применить эту тактику, если она окажется успешной.

Компания по анализу угроз KELA заявляет, что не все группы программ-вымогателей так громко ищут партнеров. Например, банда REvil предпочитает действовать конфиденциально и полагается на свою сеть филиалов и связей, чтобы найти новых партнеров, когда они им нужны, говорит KELA. В середине мая, сразу после того, как программы-вымогатели были заблокированы на одном форуме, группа REvil объявила, что они будут вести свою деятельность в частном порядке.

Другие известные группы, вероятно, будут держать голову низко, учитывая активную охоту на участников программ-вымогателей, которая усилилась после того, как DarkSide зашифровала системы Colonial Pipeline и тем самым нарушив поставки топлива на Восточном побережье США.