В конце января 2026 года на горизонте киберугроз появилась новая вымогательская группировка 0APT, моментально заявившая о взломе сотен крупных компаний по всему миру. Однако проведенный анализ показал, что значительная часть этих заявлений не подтверждается фактами и, вероятнее всего, представляет собой продуманную кампанию по созданию ложной репутации и выманиванию денег.
Громкий старт 0APT и первые признаки блефа
Группа 0APT объявила о себе неожиданно агрессивно: всего за первую неделю активности киберпреступники заявили о компрометации более 200 организаций. Для опытных специалистов по информационной безопасности это стало тревожным сигналом: большинство новых вымогательских групп начинают с ограниченного числа атак и постепенно наращивают масштаб, а не демонстрируют «мгновенный массовый успех».
Исследователи из GuidePoint Research and Intelligence Team (GRIT) провели верификацию заявленных инцидентов и установили, что большая часть компаний из списка 0APT никогда не сообщала о признаках атаки, компрометации инфраструктуры или утечки данных. Это позволило экспертам говорить о систематическом и сознательном искажении информации со стороны группы.
Сайт утечек 0APT: от сотен жертв к нескольким компаниям
28 января 2026 года 0APT запустила собственный сайт для публикации украденных данных и давления на жертв. На ресурсе сразу появился список из более чем 200 якобы взломанных компаний. Однако уже 8 февраля, после первых публичных сомнений в достоверности этих данных, сайт внезапно ушел в офлайн.
На следующий день ресурс вновь стал доступен, но список компаний сократился до примерно 15 имен. При этом, как отмечают аналитики GRIT, даже для части оставшихся организаций не было представлено никаких технических артефактов, образцов данных или иных доказательств реального взлома. Эксперты описали опубликованные перечни как «полностью сфабрикованные списки с вымышленными компаниями и известными брендами», призванные создать иллюзию масштабной атаки.
Технический трюк: имитация гигантской утечки через /dev/random
Отдельного внимания заслуживает простой, но эффектный прием, который использовала 0APT для усиления впечатления от своих заявлений. Серверы группы отправляли пользователям поток случайных данных из /dev/random прямо в браузер. Визуально это выглядело как загрузка крупного зашифрованного архива объемом около 20 ГБ.
Для неспециалистов подобное поведение может восприниматься как подтверждение наличия огромного массива похищенных данных. На практике же речь шла лишь о генерации бессмысленного случайного потока, не имеющего отношения к реальным утечкам. Этот прием хорошо иллюстрирует, как киберпреступники используют психологическое давление и технический «театр» вместо реальных компрометаций.
Повторное вымогательство: монетизация старых и чужих утечек
Несмотря на отсутствие доказанных крупных взломов, 0APT, по оценке экспертов, все же пытается извлечь прибыль. Группа, вероятнее всего, использует тактику «повторного вымогательства»: шантажирует компании, опираясь на данные, которые были украдены другими хакерами несколько лет назад и уже фигурировали в подпольных базах.
Подобный подход не нов: в 2023 году группировка RansomedVC покупала старые наборы данных, частично комбинировала их с открытой информацией и объявляла о «новых утечках», требуя выкуп за якобы свежий инцидент. Для организаций, не ведущих систематический учет прошлых инцидентов и публично слитых данных, отличить реальную новую атаку от повторного шантажа бывает затруднительно.
Копирование схем Mogilevich и обман не только компаний, но и хакеров
Аналитики отмечают, что поведение 0APT во многом повторяет модель, которую в 2024 году продемонстрировала группа Mogilevich. Сначала она публично заявила о взломе Epic Games, а затем признала, что является не вымогательской группировкой в классическом смысле, а «профессиональными мошенниками», делающими ставку на блеф и социальную инженерию.
Тогда же Mogilevich утверждала, что скомпрометировала сеть производителя дронов DJI и, используя этот предлог, сумела обманом получить около 85 000 долларов США в криптовалюте от потенциального «покупателя» якобы украденных данных. Поведение 0APT — фейковые списки жертв, отсутствие доказательств утечек и ставка на психологическое давление — указывает на явное заимствование этой схемы.
Показательно, что 0APT пыталась обманывать и других киберпреступников: на ранних версиях сайта желающим присоединиться к вымогательским операциям предлагалось внести залог в размере 1 биткоина. Это типичный признак мошеннических «ransomware-as-a-service» псевдоплатформ, ориентированных на выкачивание средств у начинающих злоумышленников.
Что значит феномен 0APT для компаний и команд ИБ
История 0APT демонстрирует важный сдвиг в экосистеме киберпреступности: угрозу представляют не только технически сложные атаки, но и масштабный блеф, основанный на страхе перед утечками. Организациям все чаще приходится проверять не только реальные инциденты, но и сомнительные заявления, поступающие от новых и малоизвестных групп.
Практически это означает необходимость выстраивать процесс верификации шантажа: сверять опубликованные «примеры данных» с уже известными утечками, привлекать внешних экспертов, отслеживать историю компрометаций компании и анализировать цифровые артефакты, а не реагировать только на громкие заявления. Компании, обладающие инвентаризацией прошлых инцидентов и централизованным учетом слитых данных, значительно меньше подвержены повторному вымогательству.
Хотя на текущий момент у 0APT нет подтвержденных масштабных успешных атак, эксперты не исключают, что в дальнейшем группа или ее последователи могут перейти от блефа к реальным компрометациям. Поэтому ключевой задачей для организаций остается укрепление базовой кибергигиены: регулярное обновление систем, резервное копирование, многофакторная аутентификация, обучение сотрудников распознаванию шантажа и фишинга, а также заранее подготовленные планы реагирования на инциденты.
Феномен 0APT — напоминание о том, что в современном киберпространстве угроза заключается не только в утечке данных, но и в манипуляции страхом этой утечки. Компании, которые системно подходят к управлению информационной безопасностью и критически оценивают поступающие требования выкупа, существенно снижают риск стать жертвой как реальных атак, так и хорошо организованного блефа.
