Перейти до змісту

Ransomware — leak-сайти

Що це

Сучасні ransomware-групи (LockBit, BlackCat/ALPHV, Akira, Cl0p, RansomHub та інші) працюють за моделлю double extortion:

  1. Шифрують ваші дані.
  2. Викрадають копію перед шифруванням і шантажують публікацією, якщо викуп не сплачено.

Для пункту 2 кожна група веде власний leak-сайт — публічний веб-ресурс (зазвичай у Tor, інколи з clearnet-зеркалом), де публікує:

  • Список жертв з назвою компанії та доменом.
  • Countdown до повної публікації даних.
  • "Семпли" — скриншоти документів, дерева файлів — як доказ, що вони дійсно у вас були.
  • Після прострочення дедлайну — повний дамп даних.

Навіщо вам це

Якщо ваша компанія з'являється на leak-сайті — це incident in progress. Зловмисники вже всередині, вже мають копію даних, вже домовляються з вами або готуються опублікувати. Часу — від кількох годин до кількох днів до повної публікації.

Чому моніторити, а не чекати лист з вимогою:

  • Деякі групи публікують жертву до контакту як форму тиску.
  • Лист може потрапити у спам, бути надісланим не туди, або проігнорованим.
  • Постачальник чи партнер, який має ваші дані, теж може потрапити на leak-сайт — це ваш third-party risk, про який вас ніхто не повідомить.
  • Знаючи раніше — встигаєте підготувати PR-комунікацію, юристів, регулятор-нотифікацію (GDPR вимагає 72 години).

Що ми моніторимо

Платформа відстежує 30+ найактивніших ransomware-груп, серед них:

  • LockBit (3.0 / Black)
  • BlackCat / ALPHV
  • Akira
  • Cl0p
  • 8base
  • Play
  • Medusa
  • RansomHub
  • Та інші

Список оновлюється з релізами платформи на основі threat intelligence фідів — нові групи з'являються 1-2 рази на місяць, старі зникають.

Моніторинг охоплює як Tor-версії сайтів (через захищений проксі), так і clearnet-зеркала, де такі є.

Що ми зберігаємо при знахідці

  • Назва ransomware-групи.
  • Дата появи жертви на leak-сайті.
  • Дедлайн (countdown) до публікації.
  • Скріншот сторінки на момент виявлення — для архіву, бо leak-сайти часто впадають або змінюються.
  • Доступні семпли — якщо група опублікувала прев'ю (структура файлів, скриншоти документів, ZIP-preview), платформа зберігає їх локально для швидкого розслідування "що саме у них є".

⚠️ Доступ до семплів обмежений за роллю (incident_responder або вище), оскільки вони можуть містити чутливі дані ваших клієнтів.

Severity знахідок

Завжди Critical. Поява на ransomware leak-сайті — це безпрецедентна ситуація, яка завжди вимагає негайної реакції.

Що бачите у дашборді

При появі знахідки ви одразу отримуєте критичне сповіщення з:

  • Назвою ransomware-групи.
  • Датою появи вашої компанії на сайті.
  • Скільки часу залишилось до публікації даних.
  • Прев'ю опублікованих семплів.
  • Прямими посиланнями на сторінку leak-сайту (через Tor onion або mirror).
  • Чек-листом дій: активувати IR-план, нотифікувати legal, юр-консультантів, готувати regulator notification.

Як підключити

Сервіс працює з коробки — підключати нічого не треба. Достатньо, щоб у вас були налаштовані DataSources (домен, назва компанії).

Що додати у DataSources

Для максимального покриття:

  • Ваш основний домен (yourcompany.com).
  • Усі субсидіарні домени.
  • Повне юридичне ім'я компанії.
  • Скорочення і торгові марки.
  • Імена нещодавніх M&A (придбані компанії можуть з'явитись там за старою назвою).

Розклад сканування

Рекомендовано — кожні 6 годин. Частіше — навантаження на Tor мережу без додаткової користі, рідше — пропустите половину дня.

FAQ

Як часто з'являються нові ransomware-групи? ~1-2 на місяць. Платформа оновлює список з threat intelligence фідів — нові групи додаються автоматично з релізами.

А якщо leak-сайт у Tor офлайн? Більшість груп мають кілька mirror. Платформа пробує усі по черзі. Тимчасова недоступність однієї групи не блокує моніторинг інших.

Скільки false positives? Майже нуль — назви компаній зазвичай унікальні. Щоб мінімізувати колізії типу "Apple" (компанія) vs "Apple Bakery" (жертва), у DataSources краще додавати повне юридичне ім'я, а не просто слово.

Що робити, якщо нас знайшли? Це incident-in-progress. Базовий чек-лист:

  1. Активувати ваш IR-план.
  2. Нотифікувати legal і outside counsel.
  3. Перевірити логи на ознаки активного компромісу (часто доступ ще не втрачено).
  4. Підготувати communication для клієнтів і регулятора (GDPR — 72 години!).
  5. Не платити викуп без консультації з юристами і law enforcement.