Специалисты компании Outpost24 KrakenLabs провели масштабное расследование и обнаружили необычный случай в мире кибербезопасности: известный хакер EncryptHub, причастный к компрометации более 600 организаций, параллельно занимался легальным поиском уязвимостей. В частности, он сообщил Microsoft о двух критических багах нулевого дня в Windows под псевдонимом SkorikARI.
Как произошло разоблачение двойной идентичности
Связь между криминальной и легальной деятельностью хакера была установлена после того, как он допустил критическую ошибку в операционной безопасности — случайно заразил собственную систему вредоносным ПО. Это привело к утечке его учетных данных, связывающих различные онлайн-идентичности, включая аккаунты EncryptHub и SkorikARI.
История становления киберпреступника
По данным исследователей, около десяти лет назад будущий хакер покинул Харьков и обосновался в Румынии. Начав с самостоятельного изучения ИТ через онлайн-курсы, он пытался найти легальную работу в компьютерной сфере. После неудачных попыток заработка на программах bug bounty в начале 2024 года злоумышленник переключился на киберпреступную деятельность.
Масштаб криминальной активности
EncryptHub известен разработкой вредоносного ПО, включая инфостилер Fickle Stealer, и связан с группировками, создающими программы-вымогатели RansomHub и BlackSuit. Злоумышленник активно использовал методы социальной инженерии, создавая фальшивые профили в социальных сетях и сайты несуществующих приложений для распространения малвари.
Технический арсенал и методы работы
В своей деятельности хакер активно использовал современные технологии, включая ChatGPT для разработки вредоносного кода и фишинговых сайтов. Особенно примечательно использование уязвимости Microsoft Management Console (CVE-2025-26633) для доставки инфостилеров и ранее неизвестных бэкдоров SilentPrism и DarkWisp.
Случай EncryptHub наглядно демонстрирует, как даже технически грамотные злоумышленники могут совершать фатальные ошибки в операционной безопасности. Пренебрежение базовыми принципами OPSEC, включая повторное использование паролей и смешивание личной и преступной деятельности, в конечном итоге приводит к разоблачению. Этот инцидент подчеркивает важность комплексного подхода к кибербезопасности и необходимость постоянного совершенствования защитных мер как для организаций, так и для частных лиц.
