Содержание
Группировка 0APT пошла на редкий для рынка шаг и начала шантажировать конкурентов из Krybit. В утёкшем посте злоумышленники обещают слить «фото, имена, локацию и другое» операторов Krybit, если те не заплатят или не выйдут на связь.
Параллельно 0APT обращается к компаниям, которые пострадали от Krybit. Цитата из того же сообщения звучит так: «And if you are one of their victims, contact us to get your data unlocked» — «Если вы один из их пострадавших, свяжитесь с нами, чтобы разблокировать ваши данные».
Почему «двойное вымогательство» плохо работает против других вымогателей
0APT использует модель double extortion. Это когда атакующие не только шифруют инфраструктуру, но и давят угрозой репутационного ущерба через публикацию украденных данных.
Проблема в том, что против другой криминальной группы эта логика почти не работает. У вымогателей нет «легальной репутации», которую можно разрушить публикацией компромата. Исследователи кибербезопасности поэтому и называют ситуацию нетипичной: 0APT действует так, будто перед ними обычная компания-жертва, а не конкуренты по цеху.
При этом 0APT уже подкрепила угрозы делом. Группа выложила небольшой «пробник» данных Krybit и пообещала полный слив, если не получит оплату.
В утёкших файлах нашли пароли и криптокошельки Krybit
Предприниматель и специалист по ИБ Эрик Тейлор (Barricade Cyber Solutions, Южная Каролина) разобрал часть файлов, которые 0APT выложила как предупреждение. По его данным, внутри оказались учётные данные в открытом виде, которые связывают с операторами и аффилиатами Krybit, а также пять адресов криптокошельков.
Ещё один показатель из анализа Тейлора звучит неприятно для Krybit. Команда не нашла признаков хотя бы одного успешно оплаченного выкупа, который можно было бы уверенно привязать к этим кошелькам. Это расходится с публичным образом «успешной» вымогательской группы, который обычно продают на своих витринах сами злоумышленники.
Сейчас сайт Krybit недоступен. Вместо него висит заглушка: «Everything will return to work shortly. We apologize for this. We are sorry for the inconvenience.»
Это не первый случай войны внутри ransomware-рынка, но масштаб растёт
Внутренние разборки у вымогателей случались и раньше. В 2025 группировка DragonForce атаковала конкурентов BlackLock и Mamona: дефейсила сайты и сливала внутренние переписки.
Те же DragonForce, по описанию инцидентов, в апреле прошлого года якобы перехватила управление инфраструктурой бывшего «топа» рынка RansomHub и затем закрыла операцию после месяца конфликтов.
На этом фоне 0APT выглядит не «шумной витриной», а группой с инструментами. Компания Halcyon оценивает 0APT как игрока, который «poses a legitimate threat» и показывает «credible technical depth». Но и там же отмечают важную деталь: в первые 48 часов 0APT выложила список «сотен жертв», и он почти наверняка содержал завышенные заявления.
Что это меняет для жертв Krybit — и где здесь риск
Для организаций, которые попали под шифровальщик Krybit, конфликт создаёт редкое окно возможностей. Но это окно опасное: 0APT остаётся киберпреступной группой, и «помощь» от неё не превращается в безопасный канал восстановления.
Ключевой вопрос пока без ответа: есть ли у 0APT реальные ключи дешифрования для жертв Krybit. Публичных подтверждений этому нет. Поэтому специалисты сходятся в одном: даже если 0APT обещает «разблокировать данные», полагаться на соперников Krybit как на спасателей рискованно.
Сама история конфликта 0APT и Krybit стала публичной после публикации 14 апреля 2026 на The Register.
