#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа DragonForce ransomware, появившаяся в декабре 2023 года, использует сложную полезную нагрузку для шифрования, используя алгоритм ChaCha8 и пользовательские методы запутывания. Он нацелен на файлы на основе расширений и выполняет обход каталогов для шифрования как локальных, так и сетевых файлов, в частности, ищет SMB-соединения на общих дисках. Примечательно, что DragonForce изменяет внешний вид зашифрованных файлов, удаляет shadow copies томов и завершает процессы, использующие уязвимые драйверы, подчеркивая свои расширенные возможности по поддержанию контроля во время атак.
-----

Группа DragonForce ransomware, идентифицированная как потомок LockBit 3.0 и кода Conti, появилась в декабре 2023 года, предлагая услуги через платформу под названием "Ransombay", где филиалы могут настраивать свои полезные нагрузки. Группа имеет связи с другими злоумышленниками, включая BlackLock и RansomHub, совместно использующими инфраструктуру и элементы кода. В рамках своей операционной модели DragonForce использует сложную полезную нагрузку, которая использует пользовательские алгоритмы для запутывания строк, расшифровываемых во время выполнения. В процессе шифрования используется алгоритм ChaCha8, добавляющий 534 байта метаданных к каждому зашифрованному файлу.

Программа-вымогатель поддерживает пять аргументов командной строки, которые определяют ее рабочие параметры, включая режим шифрования, с особой возможностью шифрования либо локальных файлов, либо сетевых путей. Вредоносное ПО специально нацелено на файлы в зависимости от их расширений и выполняет обход каталога, чтобы определить подходящие файлы для шифрования. Для сетевых атак DragonForce ищет SMB-соединения, применяя свое шифрование к общим дискам, придерживаясь списка исключений для определенных типов путей.

Одним из важных аспектов функциональности DragonForce's является его способность изменять внешний вид зашифрованных файлов, меняя их значки и обои, что служит как гнусным намерениям, так и потенциально является формой социальной инженерии. Чтобы усилить свою работу, программа-вымогатель удаляет shadow copies томов с помощью запросов WQL, препятствуя усилиям по восстановлению после атаки.

DragonForce также разрабатывает методы завершения процессов на пораженных компьютерах путем использования уязвимых драйверов, демонстрируя расширенные возможности по поддержанию контроля во время атаки. Эти операции напоминают действия традиционных программ-вымогателей, но DragonForce демонстрирует тщательно продуманный механизм, направленный не только на шифрование данных, но и на обеспечение надежного контроля за выполнением и тактикой уклонения.

Что касается защиты, Центр исследований угроз и разведки S2W разработал дешифратор для DragonForce ransomware, способный восстанавливать файлы, зашифрованные таким образом. Многогранный дешифратор работает как для сред Windows, так и для ESXi, строго ориентируясь на файлы, помеченные символом .Расширение RNP для восстановления. Процесс расшифровки включает в себя извлечение сеансового ключа из зашифрованных метаданных, которые защищены с помощью шифрования RSA, прежде чем использовать его для расшифровки самих файлов.

Учитывая последствия оперативной тактики DragonForce's — в частности, первоначальное проникновение через незащищенные службы удаленных рабочих столов — внедрение надежных мер безопасности, таких как ограничение доступа к этим службам или применение строгих протоколов аутентификации, жизненно важно для снижения рисков, связанных с такими атаками программ-вымогателей.

#ParsedReport #CompletenessLow
16-01-2026

SOLYXIMMORTAL : PYTHON MALWARE ANALYSIS

https://www.cyfirma.com/research/solyximmortal-python-malware-analysis/

Report completeness: Low

Threats:
Solyximmortal

Victims:
Windows users

Geo:
Turkish

TTPs:
Tactics: 8
Technics: 10

IOCs:
Hash: 1

Soft:
Discord, Chrome, Telegram

Algorithms:
aes-gcm, md5, zip

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SolyxImmortal - это сложное вредоносное ПО для кражи информации Windows, закодированное на Python, способное похищать учетные данные, регистрировать нажатия клавиш, Захват экрана и сбор документов, оставаясь при этом незамеченным. Он обеспечивает закрепление и управляет несколькими потоками для наблюдения без пользовательского интерфейса, фокусируясь на сборе данных из скомпрометированных систем, а не на самораспространении. Распространение вредоносного ПО было связано с подпольным Telegram-каналом, нацеленным на злоумышленников с низким и средним уровнем сложности.
-----

SolyxImmortal - это усовершенствованное вредоносное ПО для кражи информации Windows, реализованное на Python и предназначенное для осуществления непрерывного наблюдения и сбора данных, не вызывая подозрений. Его возможности включают в себя кражу учетных данных, регистрацию нажатий клавиш, Захват экрана и сбор документов, и все это упаковано в постоянный имплантат, который работает в пространстве пользователя. Архитектура вредоносного ПО позволяет ему использовать законные системные API и доступные сторонние библиотеки, повышая его скрытность и снижая риск обнаружения во время его работы.

После выполнения SolyxImmortal устанавливает закрепление и инициирует несколько потоков для одновременного наблюдения и сбора данных, работая бесшумно в фоновом режиме без какого-либо видимого пользовательского интерфейса или консольных выходов. Выполнение вредоносного ПО начинается автоматически при запуске скрипта, без зависимости от аргументов командной строки или конфигураций. Отсутствие функций самораспространения указывает на то, что основное внимание уделяется максимальному сбору данных с скомпрометированных конечных точек, а не распространению на другие системы. Злоумышленник, стоящий за этим вредоносным ПО, использует методологию, основанную на непрерывном мониторинге и выборочном оповещении о ключевых действиях, таких как события аутентификации пользователя.

Распространение образца SolyxImmortal было прослежено до подпольного Telegram-канала, связанного с распространением товарного вредоносного ПО и вариантов стиллеров. Активность в рамках этого канала предполагает, что он обслуживает злоумышленников с низким или средним уровнем сложности, а не хорошо организованные преступные организации, что указывает на более оппортунистическую оперативную модель.

#ParsedReport #CompletenessLow
15-01-2026

5 Malicious Chrome Extensions Enable Session Hijacking in Enterprise HR and ERP Systems

https://socket.dev/blog/5-malicious-chrome-extensions-enable-session-hijacking

Report completeness: Low

Victims:
Enterprise hr platforms, Enterprise erp platforms, Workday, Netsuite, Successfactors, Security administrators

TTPs:
Tactics: 3
Technics: 5

IOCs:
Domain: 4
Url: 3
Coin: 4
File: 10

Soft:
Chrome, Outlook

Functions:
removeRuleIds, setTimeout, getDomainFromURL, removeSpecially, setCookie, getAuthTokenFromCookie, setInterval, getSession

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Были обнаружены пять вредоносных расширений Chrome, которые облегчают захват сеанса, нацеливаясь на токены аутентификации в файлах cookie с именем "__session" в системах управления персоналом и ERP, включая Workday и NetSuite. Расширения маскируются под инструменты повышения производительности, используя скрытые разрешения, чтобы избежать обнаружения, и отключая критические функции безопасности, чтобы затруднить усилия по администрированию безопасности. Их архитектура демонстрирует скоординированный злонамеренный умысел, а также наличие общих шаблонов обнаружения и механизмов антианализа, которые усложняют информирование пользователей и судебно-медицинское расследование.
-----

Пять вредоносных расширений Chrome облегчают перехват сеанса и отключают средства контроля безопасности в корпоративных системах управления персоналом и ERP. Они продаются как инструменты повышения производительности и запрашивают стандартные разрешения во время установки для повышения воспринимаемой легитимности. Расширения используют механизм эксфильтрации файлов cookie для нацеливания токенов аутентификации конкретно на файлы cookie с именем "__session". Эта функциональность согласована между несколькими расширениями, что указывает на скоординированные усилия злоумышленников.

Вредоносные акторы обнаруживают ориентированные на безопасность расширения Chrome и сообщают о находках и украденных учетных данных обратно на свои серверы управления (C2). Некоторые расширения утверждают, что повышают безопасность пользователей, но на самом деле препятствуют администрированию безопасности, предотвращая доступ к критическим настройкам и средствам управления реагированием на инциденты. Механизм внедрения файлов cookie использует данные в формате JSON и функцию chrome.cookies.set() для перехвата аутентифицированных сеансов.

Эти расширения работают с одноразовой инфраструктурой и не имеют подлинных сервисных веб-сайтов, что отражает типичные схемы вредоносных операций. Механизмы защиты от анализа улучшают тактику уклонения, включая мониторинг полей паролей, чтобы усложнить усилия по обнаружению. Идентичные списки обнаружения во всех расширениях предполагают, что они, скорее всего, были разработаны одним и тем же актором или группой.

Стратегии смягчения последствий включают удаление уязвимых расширений, просмотр истории аутентификации на предмет подозрительной активности, внедрение списков разрешений для расширений Chrome Enterprise, блокировку известных доменов C2 и аудит журналов на наличие аномалий. Также рекомендуется принудительный сброс пароля в чистых системах и тщательная проверка доверенных устройств. Необходим постоянный мониторинг на наличие подобных вредоносных расширений.

#ParsedReport #CompletenessMedium
16-01-2026

TamperedChef serves bad ads, with infostealers as the main course

https://www.sophos.com/en-us/blog/tamperedchef-serves-bad-ads-with-infostealers-as-the-main-course

Report completeness: Medium

Threats:
Tamperedchef
Evilai
Appsuite
Epibrowser
Seo_poisoning_technique

Victims:
General users, Enterprises

Geo:
France, Malaysia, United kingdom, Germany

TTPs:
Tactics: 5
Technics: 9

IOCs:
Url: 6
File: 4
Domain: 29
Registry: 13
Path: 15
Command: 1
Hash: 16

Algorithms:
sha256

Languages:
javascript

Links:
https://github.com/sophoslabs/IoCs/blob/master/TamperedChef\_IOCs.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по Вредоносной рекламе TamperedChef использует Google Ads для распространения вредоносного ПО для утаивания информации, первоначально запущенная с помощью PUAs в 2024 году, а затем подвергшаяся крупной атаке в июне 2025 года. Жертв обманом заставляют загрузить скомпрометированный установщик для PDF-редактора AppSuite, который остается бездействующим в течение 56 дней перед активацией, собирая учетные данные и конфиденциальную информацию, сохраняя при этом закрепление с помощью запланированных задач и записей реестра. Кампания включает в себя запутанные компоненты вредоносного ПО и использует злоупотребления Подписью исполняемого кода для дальнейшего уклонения.
-----

Кампания по Вредоносной рекламе TamperedChef представляет собой сложную операцию, которая использует рекламу Google для распространения вредоносного ПО, скрывающего информацию. Первоначально появившись в августе 2024 года, злоумышленники начали с развертывания потенциально нежелательных приложений (PUA) для тестирования методов их доставки, прежде чем начать полномасштабную атаку в июне 2025 года. Они зарегистрировали несколько похожих сайтов-утилит для работы с PDF-файлами и использовали поисковую систему SEO poisoning ( employedo employed), чтобы заманить жертв к загрузке скомпрометированного установщика для редактора PDF AppSuite.

Как только вредоносное ПО было установлено, оно поддерживало спящее состояние примерно в течение 56 дней, чтобы максимально увеличить частоту заражения. Эта задержка способствовала скрытому сбору учетных данных браузера и конфиденциальных данных при активации 21 августа 2025 года. Вредоносное ПО добилось закрепления путем манипуляций с запланированными задачами и записями системного реестра, чтобы гарантировать повторную активацию даже после перезагрузки системы. К началу сентября Sophos обнаружила более 300 скомпрометированных хостов, что привело к скоординированному реагированию, включавшему поиск вредоносной инфраструктуры и доменов.

Цепочка атак обычно начиналась с того, что жертвы нажимали на рекламу или результаты поиска руководств по эксплуатации и инструментов редактирования PDF, которые перенаправляли их на URL-адрес, содержащий Вредоносную рекламу. Жертвы загружали то, что казалось законными PDF-файлами, которые на самом деле были установщиком вредоносного ПО (AppSuite-PDF.msi). После запуска этот установщик загрузил дополнительные вредоносные компоненты, включая сильно запутанный файл JavaScript, помеченный Sophos Next Generation Antivirus как вредоносный. Примечательно, что методы обфускации, возможно, использовали искусственный интеллект для создания уникальных вариантов, способных избежать обнаружения на основе сигнатур.

Вредоносное ПО устанавливает записи и задачи автозапуска в системе для поддержания постоянного доступа. Это также связано со вторичными полезными нагрузками, которые еще больше расширяют контроль над зараженными системами, включая подключения к доменам управления для эксфильтрации данных. В кампании использовались злоупотребления с Подписью исполняемого кода, распространялись различные варианты вредоносного ПО, подписанные учетными данными организаций, зарегистрированных в Малайзии и США.

В целях смягчения последствий рекомендуется избегать установки программного обеспечения из онлайн-рекламы и приобретать программное обеспечение исключительно из официальных источников. Организациям следует внедрять строгий контроль приложений, обучать пользователей распознаванию Вредоносной рекламы и применять Многофакторную аутентификацию (MFA) для повышения общей безопасности. После любого инцидента следует провести тщательное сканирование конечных точек, повторно настроить скомпрометированные системы и выполнить немедленный сброс учетных данных для устранения постоянных угроз.

#ParsedReport #CompletenessHigh
16-01-2026

New Remcos Campaign Distributed Through Fake Shipping Document

https://www.fortinet.com/blog/threat-research/new-remcos-campaign-distributed-through-fake-shipping-document

Report completeness: High

Threats:
Remcos_rat
Process_hollowing_technique
Agent_tesla
Drakcloud

Victims:
Shipping sector

Industry:
Transport

Geo:
Vietnamese, Vietnam

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1049, T1053.005, T1056.001, T1059.001, T1059.005, T1071.001, T1105, T1112, have more...

IOCs:
File: 12
Url: 6
Command: 1
Path: 1
Hash: 4

Soft:
Windows Task Scheduler, Microsoft Word, Microsoft Visual C++

Algorithms:
base64, sha256

Functions:
VAI, URLDownloadToFileW, TaskScheduler-related, TaskService

Win API:
ShellExecuteW, ShowWindow, MessageBox

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 6, dump: 4, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно выявленная кампания по фишингу распространяет вариант Remcos RAT, используя уязвимость CVE-2017-11882 через вредоносный документ Word. Атака использует искаженный RTF-файл для запуска Удаленного Выполнения Кода, развертывая VBScript, который выполняет код PowerShell. Полезная нагрузка Remcos, разработанная для скрытности, обеспечивает широкий контроль над скомпрометированными системами, предлагая такие функции, как удаленный доступ, Регистрация нажатий клавиш и мониторинг сети, одновременно взаимодействуя с сервером управления.
-----

Недавно была выявлена кампания фишинга, направленная на распространение нового варианта троянца удаленного доступа Remcos (RAT). Эта кампания использует уязвимость CVE-2017-11882, известную тем, что она позволяет выполнять Удаленное Выполнение Кода через редактор Microsoft Equation Editor. Атака начинается с фишинг-письма, выдаваемого за сообщение от транспортной компании во Вьетнаме, в котором получателям предлагается открыть файл Word, помеченный как обновленный товаросопроводительный документ.

Вредоносный документ Word запускает использование уязвимости CVE-2017-11882 через RTF-файл, содержащий намеренно искаженные данные уравнения. При выполнении это приводит к развертыванию слегка запутанного файла VBScript, содержащего код PowerShell в кодировке Base64. Последующее .Модуль NET создан для обеспечения закрепления путем создания запланированной задачи в планировщике задач Windows.

Сама полезная нагрузка Remcos загружается в память, не оставляя следов на диске. Эта полезная нагрузка, 32-разрядный исполняемый файл, разработанный с помощью Microsoft Visual C++, остается незащищенной упаковщиками. Во время своего выполнения агент Remcos извлекает и сохраняет зашифрованный блок конфигурации, который определяет его операционные возможности. После подключения к серверу управления (C2) агент Remcos начинает передавать данные обратно злоумышленнику, включая системную информацию и различные показатели использования.

Вариант Remcos, используемый в этой кампании, оснащен обширными функциями, позволяющими полностью контролировать скомпрометированные системы. Он предоставляет функциональные возможности для управления системой, включая удаленный доступ к редактированию реестра, а также возможности наблюдения, такие как Регистрация нажатий клавиш и захват экрана. Кроме того, он включает в себя инструменты мониторинга сети, интерактивный коммуникационный интерфейс для общения с жертвой в режиме реального времени и различные команды, которые позволяют злоумышленнику дополнительно манипулировать выполнением агента, включая повышение привилегий и выполнение обновлений или деинсталляций.

#ParsedReport #CompletenessHigh
15-01-2026

DeadLock Ransomware: Smart Contracts for Malicious Purposes

https://www.group-ib.com/blog/deadlock-ransomware-polygon-smart-contracts/

Report completeness: High

Actors/Campaigns:
Unc5342

Threats:
Deadlock
Anydesk_tool
Dosvc
Winrm_tool
Etherhiding_technique
Shadow_copies_delete_technique

Industry:
Financial

Geo:
India, North korean, Dprk, Italy, Spain

TTPs:
Tactics: 3
Technics: 6

IOCs:
Url: 7
File: 3
Hash: 12
Coin: 3
IP: 2

Soft:
Wuauserv, Shopware, WordPress, cPanel, Ubuntu

Crypto:
ethereum

Algorithms:
md5, sha1, sha256

Functions:
setProxy

Win API:
Polygon, sendMessage

Win Services:
WinDefend, WaaSMedicSvc, Bits, BrokerInfrastructure, Diagtrack, Eventlog, NtlmSsp

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DeadLock - это семейство программ-вымогателей, выявленное в июле 2025 года, которое использует передовые методы обхода традиционных средств защиты, включая использование смарт-контрактов Polygon для управления децентрализованными прокси-адресами, что повышает анонимность. Он шифрует файлы с помощью a .расширение dlock и изменяет системные визуальные эффекты, требуя выкуп, при этом используя скрипты PowerShell для завершения работы служб, не включенных в белый список. Включение вредоносным ПО AnyDesk для удаленного доступа и использование HTML-оболочки для зашифрованных сообщений указывают на сложную тактику, согласованную с платформой MITRE ATT&CK.
-----

DeadLock - это семейство программ-вымогателей, выявленное в июле 2025 года, которое работает с использованием инновационных методов, позволяющих оставаться незаметным и обходить традиционные средства защиты. Примечательно, что DeadLock использует смарт-контракты Polygon для управления адресами децентрализованных прокси-серверов, что повышает способность группы скрывать свою деятельность. Этот метод обеспечивает большую гибкость и безопасность за счет использования децентрализованной природы технологии блокчейн. Конкретное злоупотребление смарт-контрактами для хранения прокси-адресов отражает растущую тенденцию среди злоумышленников, ищущих изощренные способы действовать незамеченными.

Программа-вымогатель шифрует файлы жертв, добавляя расширение.dlock и изменение значков файлов вместе с обоями жертвы, чтобы заставить их заплатить выкуп за расшифровку. Хотя методы первоначального доступа, используемые DeadLock, остаются неясными, вредоносное ПО использует сценарий PowerShell, предназначенный для завершения работы служб, не включенных в белый список, в зараженных системах. Уникальное включение AnyDesk, стороннего инструмента удаленного мониторинга, в белый список скрипта указывает на его критическую роль в наборе инструментов злоумышленника для удаленного доступа и контроля.

Методология DeadLock's также демонстрирует использование HTML-файла, который действует как оболочка для Session, зашифрованной децентрализованной службы обмена сообщениями, с возможностями извлечения прокси-адресов из связанного смарт-контракта. Эта функция, называемая sendProxy, подчеркивает инновационную тактику обработки данных группы. Отслеживая транзакции по смарт-контракту, аналитики могут получить доступ к историческому списку используемых прокси-серверов, что потенциально помогает в защитных мерах от Ransomware.

Отчет об инциденте от ThreatScene также подтверждает, что AnyDesk используется группой DeadLock как для функциональности удаленного рабочего стола, так и для эффективного выполнения своих операций. Кроме того, тактика, методы и процедуры группы (TTP) соответствуют нескольким категориям в платформе MITRE ATT&CK, подробно описывая их методы выполнения через Командную оболочку Windows и PowerShell, их методы уклонения, включая Удаление файлов после выполнения, и их воздействие на целостность данных, восстановление системы и общее состояние. контроль.

Несмотря на свое нынешнее низкое воздействие и ограниченную уязвимость, DeadLock является примером меняющегося ландшафта угроз. Его инновационные методы сигнализируют о потенциальных будущих рисках, особенно если злоумышленники продолжат адаптировать и совершенствовать свои оперативные методы без адекватных контрмер со стороны организаций.

#ParsedReport #CompletenessLow
16-01-2026

Dark Web Profile: Orion Ransomware

https://socradar.io/blog/dark-web-profile-orion-ransomware/

Report completeness: Low

Threats:
Orion_ransomware
Babuk2
Lockbit
Blackcat
Babuk

Industry:
Healthcare

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Orion Ransomware, по-видимому, является в значительной степени рекламной организацией, а не сложной операцией вымогателей, в основном действующей на сайтах утечки данных без доказательств фактической разработки программ-вымогателей или подтвержденных нарушений. Его модель напоминает брокерское обслуживание доступа и вымогательство данных, а не классическую программу-вымогатель как услугу, в ней отсутствуют технические детали, типичные для известных Ransomware. Кроме того, связи Orion с предыдущей подпольной деятельностью и такими группами, как Babuk2, предполагают сосредоточение внимания на практике, основанной на репутации, а не на реальных оперативных возможностях.
-----

Orion Ransomware - это недавно выявленная операция, которая всплыла после обнаружения неизвестного сайта утечки данных программы-вымогателя (DLS), в котором перечислены 13 предполагаемых жертв. Несмотря на то, что Orion публично позиционирует себя как активного актора программ-вымогателей в экосистемах Dark Web, тщательный анализ показывает отсутствие доказательств, указывающих на подлинную разработку программ-вымогателей или независимо проверенные нарушения. Его присутствие, по-видимому, ограничивается деятельностью на местах утечек и рекламными сообщениями, а не демонстрацией реальных оперативных возможностей.

Операционная модель Orion предполагает "эксклюзивную партнерскую программу", которая подчеркивает потенциал высокой прибыли, анонимность и быстрые выплаты. Однако обмен сообщениями больше похож на брокерские услуги доступа и схемы вымогательства данных, а не на усовершенствованное предложение "Программа-вымогатель как услуга" (RaaS). Примечательно, что отсутствуют какие-либо технические характеристики полезной нагрузки вредоносного ПО, методов шифрования или функциональных возможностей панели, которые обычно выделяются известными группами вымогателей. Это отсутствие технических деталей говорит о том, что Orion, возможно, больше сосредоточена на привлечении партнеров с помощью маркетинга, а не на реальной надежности обслуживания.

Дальнейшее изучение инфраструктуры и коммуникаций Orion позволяет предположить наличие связей с предыдущей подпольной деятельностью, не связанной напрямую с самостоятельной операцией вымогателей. TOX-адрес, связанный с DLS, имеет историю на различных форумах Dark Web, известных продажей доступа, рекламными акциями панели программ-вымогателей и утечками данных. Обсуждения, связанные с этой идентификацией, указывают на такие практики, как перепродажа данных и связи с Babuk2, группой, признанной за подход, основанный на репутации, но технически несовершенный.

Заявления Orion о виктимизации охватывают разные страны и секторы, с заметной концентрацией в Соединенных Штатах. Эта схема больше соответствует общим стратегиям монетизации программ-вымогателей, чем предполагает какие-либо конкретные мотивы таргетинга. Оперативные совпадения с Babuk2 еще больше снижают уверенность в предполагаемых возможностях программы-вымогателя Orion, поскольку эти связи подчеркивают модели утилизации данных и репутационную тактику, а не оригинальные атаки.

Таким образом, Orion Ransomware является примером растущей формы вымогательства, основанного на репутации, которой не хватает технической изощренности, присущей обычным операциям с программами-вымогателями. Его стратегии вербовки, историческая принадлежность и виктимология указывают на то, что он полагается на унаследованную уязвимость, а не на законные вторжения, что поднимает вопросы о его операционной эффективности и авторитете в условиях киберугрозы.