Наприкінці січня 2026 року в екосистемі кіберзагроз з’явилася нова група 0APT, яка миттєво оголосила про злами сотень великих компаній по всьому світу. Однак детальний аналіз показав: значна частина цих заяв не підтверджується жодними технічними ознаками компрометації й виглядає як спроба побудувати фейкову репутацію «масового» ransomware-гравця та виманити гроші через шантаж.
0APT: агресивний старт нової ransomware-групи
У перший тиждень активності 0APT представила перелік із понад 200 нібито зламаних організацій. Для фахівців з кібербезпеки така динаміка стала тривожним індикатором: як правило, нові групи починають з обмеженої кількості цілей, поступово відпрацьовуючи інструменти, а не демонструють миттєвий «глобальний успіх».
Команда GuidePoint Research and Intelligence Team (GRIT) провела верифікацію згаданих компаній. Більшість із них не фіксували підозрілої активності, не повідомляли про компрометацію інфраструктури чи витоки конфіденційної інформації. Аналітики дійшли висновку, що 0APT систематично перебільшує масштаб атак і свідомо публікує недостовірні списки «жертв» для створення тиску на бізнес.
Фейковий сайт витоків і скорочений список «жертв»
28 січня 2026 року 0APT запустила власний сайт витоків даних – типову для сучасних ransomware-груп платформу, де публікують вкрадені файли для посилення шантажу. Вже на старті на сайті з’явився перелік із понад 200 компаній, які нібито стали жертвами атак. Однак після появи перших публічних сумнівів щодо достовірності цих заяв ресурс 8 лютого раптово зник з мережі.
Наступного дня сайт повернувся онлайн, але список скоротився до приблизно 15 компаній. При цьому навіть щодо частини оновленого переліку 0APT не надала жодних технічних доказів – зразків даних, скриншотів із внутрішніх систем, слідів доступу до інфраструктури. За оцінкою GRIT, це «повністю сфабриковані списки, де змішані вигадані організації та відомі бренди», покликані створити ілюзію масштабної кампанії зламів.
Технічний театр: трюк з /dev/random замість реальної утечки
Щоб посилити враження від своїх заяв, 0APT використала простий, але ефектний прийом. Сервери групи віддавали в браузер жертви потік випадкових байтів із /dev/random, який візуально виглядав як завантаження великого зашифрованого архіву обсягом близько 20 ГБ. Для нетехнічної аудиторії це могло сприйматися як прямий доказ наявності величезного масиву вкрадених даних, хоча насправді йшлося про бездумно згенерований випадковий потік, що не мав жодного відношення до реальної компрометації.
Повторне вимагання та використання старих витоків
Попри відсутність підтверджених великих зламів, 0APT, за оцінками аналітиків, все ж намагається заробити. Основна тактика – повторне вимагання (re-extortion): група шантажує компанії, спираючись на масиви даних, які були викрадені іншими злочинцями кілька років тому і вже давно циркулюють у підпільних базах чи у відкритих архівах витоків.
Подібну модель раніше використовувала група RansomedVC, яка купувала старі набори даних, комбінувала їх з відкритою інформацією (OSINT) і видавала це за «нові» витоки. Для організацій, які не ведуть централізований облік минулих інцидентів та оприлюднених витоків, розрізнити реальний новий злам і повторний шантаж часто складно, що підвищує ефективність таких кампаній.
Спадкоємці Mogilevich: шахрайство проти бізнесу і кіберзлочинців
Модель поведінки 0APT багато в чому повторює підхід групи Mogilevich, яка у 2024 році гучно заявила про злам Epic Games, а згодом фактично позиціонувала себе як «професійних шахраїв», що роблять ставку на блеф і соціальну інженерію. Mogilevich також стверджувала, що компрометувала DJI, і під цим приводом змогла отримати близько 85 000 доларів США в криптовалюті від покупця «даних», яких насправді не існувало.
0APT не лише вводить в оману компанії, а й намагається ошукати інших кіберзлочинців. На ранніх версіях їхнього сайту потенційним «партнерам» пропонували вступ до програми ransomware-as-a-service із внесенням застави у розмірі 1 біткона. Така схема добре відома як спосіб витягування коштів із початківців-зловмисників, а не як справжня партнерська модель.
Що мають зробити компанії: перевірка шантажу та базова кібергігієна
Історія 0APT демонструє важливий тренд: не всі загрози базуються на реальних технічних атаках. Часто компанії стикаються з масштабним блефом, який експлуатує страх перед витоками даних. Це вимагає від команд інформаційної безпеки не лише реагування на підтверджені інциденти, а й системної перевірки заяв про шантаж.
Практично це означає необхідність вибудувати процес верифікації вимог викупу: звіряти «приклади даних» із вже відомими витоками, аналізувати цифрові артефакти доступу, перевіряти часові мітки та структуру файлів, залучати зовнішніх експертів і провайдерів threat intelligence. Компанії, які мають каталогізовану історію власних інцидентів і облік оприлюднених про них витоків, суттєво менше вразливі до повторного шантажу на основі старих або чужих даних.
Попри те, що наразі у 0APT немає підтверджених масштабних успішних атак, еволюція таких груп може піти від блефу до реальної експлуатації вразливостей. Тому бізнесам критично важливо інвестувати в базову кібергігієну: актуальні оновлення систем, резервне копіювання, багато факторну автентифікацію, навчання співробітників розпізнаванню шантажу та фішингу, а також завчасно підготовлені плани реагування на інциденти. Системний, доказовий підхід до кожної заяви про витік даних дозволяє суттєво знизити ризик стати жертвою як реальної атаки, так і добре організованого кіберблефу на кшталт кампанії 0APT.
