Ransomware — leak-сайти¶
Що це¶
Сучасні ransomware-групи (LockBit, BlackCat/ALPHV, Akira, Cl0p, RansomHub та інші) працюють за моделлю double extortion:
- Шифрують ваші дані.
- Викрадають копію перед шифруванням і шантажують публікацією, якщо викуп не сплачено.
Для пункту 2 кожна група веде власний leak-сайт — публічний веб-ресурс (зазвичай у Tor, інколи з clearnet-зеркалом), де публікує:
- Список жертв з назвою компанії та доменом.
- Countdown до повної публікації даних.
- "Семпли" — скриншоти документів, дерева файлів — як доказ, що вони дійсно у вас були.
- Після прострочення дедлайну — повний дамп даних.
Навіщо вам це¶
Якщо ваша компанія з'являється на leak-сайті — це incident in progress. Зловмисники вже всередині, вже мають копію даних, вже домовляються з вами або готуються опублікувати. Часу — від кількох годин до кількох днів до повної публікації.
Чому моніторити, а не чекати лист з вимогою:
- Деякі групи публікують жертву до контакту як форму тиску.
- Лист може потрапити у спам, бути надісланим не туди, або проігнорованим.
- Постачальник чи партнер, який має ваші дані, теж може потрапити на leak-сайт — це ваш third-party risk, про який вас ніхто не повідомить.
- Знаючи раніше — встигаєте підготувати PR-комунікацію, юристів, регулятор-нотифікацію (GDPR вимагає 72 години).
Що ми моніторимо¶
Платформа відстежує 30+ найактивніших ransomware-груп, серед них:
- LockBit (3.0 / Black)
- BlackCat / ALPHV
- Akira
- Cl0p
- 8base
- Play
- Medusa
- RansomHub
- Та інші
Список оновлюється з релізами платформи на основі threat intelligence фідів — нові групи з'являються 1-2 рази на місяць, старі зникають.
Моніторинг охоплює як Tor-версії сайтів (через захищений проксі), так і clearnet-зеркала, де такі є.
Що ми зберігаємо при знахідці¶
- Назва ransomware-групи.
- Дата появи жертви на leak-сайті.
- Дедлайн (countdown) до публікації.
- Скріншот сторінки на момент виявлення — для архіву, бо leak-сайти часто впадають або змінюються.
- Доступні семпли — якщо група опублікувала прев'ю (структура файлів, скриншоти документів, ZIP-preview), платформа зберігає їх локально для швидкого розслідування "що саме у них є".
⚠️ Доступ до семплів обмежений за роллю (incident_responder або вище), оскільки вони можуть містити чутливі дані ваших клієнтів.
Severity знахідок¶
Завжди Critical. Поява на ransomware leak-сайті — це безпрецедентна ситуація, яка завжди вимагає негайної реакції.
Що бачите у дашборді¶
При появі знахідки ви одразу отримуєте критичне сповіщення з:
- Назвою ransomware-групи.
- Датою появи вашої компанії на сайті.
- Скільки часу залишилось до публікації даних.
- Прев'ю опублікованих семплів.
- Прямими посиланнями на сторінку leak-сайту (через Tor onion або mirror).
- Чек-листом дій: активувати IR-план, нотифікувати legal, юр-консультантів, готувати regulator notification.
Як підключити¶
Сервіс працює з коробки — підключати нічого не треба. Достатньо, щоб у вас були налаштовані DataSources (домен, назва компанії).
Що додати у DataSources
Для максимального покриття:
- Ваш основний домен (
yourcompany.com). - Усі субсидіарні домени.
- Повне юридичне ім'я компанії.
- Скорочення і торгові марки.
- Імена нещодавніх M&A (придбані компанії можуть з'явитись там за старою назвою).
Розклад сканування¶
Рекомендовано — кожні 6 годин. Частіше — навантаження на Tor мережу без додаткової користі, рідше — пропустите половину дня.
FAQ¶
Як часто з'являються нові ransomware-групи? ~1-2 на місяць. Платформа оновлює список з threat intelligence фідів — нові групи додаються автоматично з релізами.
А якщо leak-сайт у Tor офлайн? Більшість груп мають кілька mirror. Платформа пробує усі по черзі. Тимчасова недоступність однієї групи не блокує моніторинг інших.
Скільки false positives? Майже нуль — назви компаній зазвичай унікальні. Щоб мінімізувати колізії типу "Apple" (компанія) vs "Apple Bakery" (жертва), у DataSources краще додавати повне юридичне ім'я, а не просто слово.
Що робити, якщо нас знайшли? Це incident-in-progress. Базовий чек-лист:
- Активувати ваш IR-план.
- Нотифікувати legal і outside counsel.
- Перевірити логи на ознаки активного компромісу (часто доступ ще не втрачено).
- Підготувати communication для клієнтів і регулятора (GDPR — 72 години!).
- Не платити викуп без консультації з юристами і law enforcement.