Google раскрыл Triplestrength - банду гениальных вымогателей.
Отдел анализа угроз Google о ранее неизвестной хакерской группировке Triplestrength, которая ведет свою деятельность с 2020 года. По словам Женевьев Старк, возглавляющей подразделение по анализу киберпреступности, хактивизма и информационных операций Google Threat Intelligence Group, в состав группы входит всего несколько человек, однако масштабы их операций поражают.
Преступники используют комплексный подход к атакам: заражают компьютеры жертв программами-вымогателями и одновременно захватывают контроль над облачными аккаунтами для криптовалюты. При этом участники группировки проявляют высокую активность на хакерских форумах, где предлагают доступ к взломанным серверам.
В сферу интересов злоумышленников попали серверы крупнейших облачных платформ: Google Cloud, Amazon Web Services, Microsoft Azure, Linode, OVHCloud и Digital Ocean. Как показало расследование, доступ к учетным данным пользователей получают с помощью вредоносной программы Raccoon, похищающей информацию с зараженных Windows-компьютеров.
Аналитики отмечают, что группировка намеренно разделяет деятельность по вымогательству и криптомайнингу. Программы-шифровальщики используются только для атак на локальные системы, не затрагивая облачную инфраструктуру. В отличие от современных преступных групп, Triplestrength не практикует двойное вымогательство с кражей данных – вместо этого файлы просто шифруются, а за их восстановление требуется выкуп.
Для шифрования злоумышленники применяют различные варианты вредоносного ПО: Phobos, LokiLocker и RCRU64. Все эти программы работают по модели "программа-вымогатель как услуга" (RaaS), но, в отличие от популярных решений RansomHub и Lockbit, не предоставляют дополнительных сервисов – например, площадок в даркнете для публикации украденных данных или помощи в переговорах о выкупе.
Методы первоначального проникновения в системы жертв оказались достаточно простыми. Группировка не использует уязвимости нулевого дня или сложные способы повышения привилегий. Основная тактика – автоматизированный перебор паролей для доступа к серверам удаленного рабочего стола. После взлома хакеры перемещаются по сети организации, отключают ПО и применяют общедоступные инструменты вроде Mimikatz и NetScan.
Яркий пример такой атаки произошел в мае 2024 года: получив доступ к RDP-серверу путем подбора пароля, злоумышленники проникли в корпоративную сеть, деактивировали защитные механизмы и развернули RCRU64 на нескольких компьютерах под управлением Windows.
Информация о деятельности Triplestrength появилась в первом отчете Google Threat Horizons за 2025 год. Связь между вымогательством и криптомайнингом установили благодаря объявлениям в Telegram, где группировка искала помощников для распространения RCRU64. Учетные записи авторов этих сообщений совпали с аккаунтами, использовавшимися для организации незаконного майнинга.
Криптовалютная деятельность банды началась около 2022 года. Сначала злоумышленники использовали вычислительные мощности локальных компьютеров жертв, но затем переключились на облачную инфраструктуру. Для добычи цифровых денег применяются приложение unMiner и майнинговый пул unMineable.
Несмотря на то, что каждая отдельная атака приносит преступникам относительно небольшой доход – от нескольких сотен до нескольких тысяч долларов, – пострадавшие организации несут гораздо более серьезные убытки. Счета за использование облачных ресурсов в некоторых случаях достигают сотен тысяч долларов.
Специалисты Google выявили множество адресов криптовалюты TRX, связанных с деятельностью группировки. Их обнаружили в конфигурационных файлах, платежах от пула unMineable и транзакциях на криптовалютных биржах. При последней проверке, которая проводилась несколько месяцев назад, зафиксировали более 600 платежей на эти кошельки, что указывает на вероятный рост числа транзакций к настоящему времени.
Жертвами Triplestrength становятся организации из разных отраслей экономики и географических регионов. Несмотря на малочисленность, банда демонстрирует высокий уровень организации и эффективности своих преступных схем, постоянно расширяя масштабы деятельности.
Подробнее:
Отдел анализа угроз Google о ранее неизвестной хакерской группировке Triplestrength, которая ведет свою деятельность с 2020 года. По словам Женевьев Старк, возглавляющей подразделение по анализу киберпреступности, хактивизма и информационных операций Google Threat Intelligence Group, в состав группы входит всего несколько человек, однако масштабы их операций поражают.
Преступники используют комплексный подход к атакам: заражают компьютеры жертв программами-вымогателями и одновременно захватывают контроль над облачными аккаунтами для криптовалюты. При этом участники группировки проявляют высокую активность на хакерских форумах, где предлагают доступ к взломанным серверам.
В сферу интересов злоумышленников попали серверы крупнейших облачных платформ: Google Cloud, Amazon Web Services, Microsoft Azure, Linode, OVHCloud и Digital Ocean. Как показало расследование, доступ к учетным данным пользователей получают с помощью вредоносной программы Raccoon, похищающей информацию с зараженных Windows-компьютеров.
Аналитики отмечают, что группировка намеренно разделяет деятельность по вымогательству и криптомайнингу. Программы-шифровальщики используются только для атак на локальные системы, не затрагивая облачную инфраструктуру. В отличие от современных преступных групп, Triplestrength не практикует двойное вымогательство с кражей данных – вместо этого файлы просто шифруются, а за их восстановление требуется выкуп.
Для шифрования злоумышленники применяют различные варианты вредоносного ПО: Phobos, LokiLocker и RCRU64. Все эти программы работают по модели "программа-вымогатель как услуга" (RaaS), но, в отличие от популярных решений RansomHub и Lockbit, не предоставляют дополнительных сервисов – например, площадок в даркнете для публикации украденных данных или помощи в переговорах о выкупе.
Методы первоначального проникновения в системы жертв оказались достаточно простыми. Группировка не использует уязвимости нулевого дня или сложные способы повышения привилегий. Основная тактика – автоматизированный перебор паролей для доступа к серверам удаленного рабочего стола. После взлома хакеры перемещаются по сети организации, отключают ПО и применяют общедоступные инструменты вроде Mimikatz и NetScan.
Яркий пример такой атаки произошел в мае 2024 года: получив доступ к RDP-серверу путем подбора пароля, злоумышленники проникли в корпоративную сеть, деактивировали защитные механизмы и развернули RCRU64 на нескольких компьютерах под управлением Windows.
Информация о деятельности Triplestrength появилась в первом отчете Google Threat Horizons за 2025 год. Связь между вымогательством и криптомайнингом установили благодаря объявлениям в Telegram, где группировка искала помощников для распространения RCRU64. Учетные записи авторов этих сообщений совпали с аккаунтами, использовавшимися для организации незаконного майнинга.
Криптовалютная деятельность банды началась около 2022 года. Сначала злоумышленники использовали вычислительные мощности локальных компьютеров жертв, но затем переключились на облачную инфраструктуру. Для добычи цифровых денег применяются приложение unMiner и майнинговый пул unMineable.
Несмотря на то, что каждая отдельная атака приносит преступникам относительно небольшой доход – от нескольких сотен до нескольких тысяч долларов, – пострадавшие организации несут гораздо более серьезные убытки. Счета за использование облачных ресурсов в некоторых случаях достигают сотен тысяч долларов.
Специалисты Google выявили множество адресов криптовалюты TRX, связанных с деятельностью группировки. Их обнаружили в конфигурационных файлах, платежах от пула unMineable и транзакциях на криптовалютных биржах. При последней проверке, которая проводилась несколько месяцев назад, зафиксировали более 600 платежей на эти кошельки, что указывает на вероятный рост числа транзакций к настоящему времени.
Жертвами Triplestrength становятся организации из разных отраслей экономики и географических регионов. Несмотря на малочисленность, банда демонстрирует высокий уровень организации и эффективности своих преступных схем, постоянно расширяя масштабы деятельности.
Подробнее:
