“Вазавака та члени його команди явно демонструють ненаситну жадібність до викупу, демонструючи значну зневагу етичними цінностями у своїх кіберопераціях”, – заявила швейцарська фірма з кібербезпеки PRODAFT. Матвєєв, який проживає в санкт-Петербурзі і відомий під псевдонімами: Wazawaka, m1x, Борисельцин, Уходірансомвар, Orange і waza, імовірно відіграв вирішальну роль у розробці та впровадженні варіантів програм-вимагачів LockBit, Babuk та Hive у червні 2020 року. «Застосовуючи тактику, що включає залякування за допомогою загроз витоку конфіденційних файлів, участь у нечесних діях та завзяте збереження файлів навіть після того, як жертва погодилася виплатити викуп, вони ілюструють етичну порожнечу, яка переважає у практиці традиційних груп, які займаються здирством».
Повідомляється, що Матавеєв очолює команду із шести тестерів на проникнення для виконання атак: 777, bobr.kurwa, krbtgt, shokoladniy_zayac,WhyNot та душнила. Група має плоску ієрархію, яка сприяє кращій співпраці між учасниками. «Кожна людина робить свій внесок у ресурси та досвід у міру необхідності, демонструючи дивовижний рівень гнучкості в адаптації до нових сценаріїв та ситуацій», — заявив ПРОДАФТ. Атаки, організовані Матвєєвим та його командою, включають використання Zoominfo та таких сервісів, як Censys, Shodan та FOFA, для збору інформації про жертв, покладаючись на відомі недоліки безпеки та брокерів початкового доступу для отримання точки опори для початку атаки. Також готові інструменти для зламування облікових записів VPN, підвищення привілеїв та оптимізації їх кампаній.
«Після отримання початкового доступу Вазавака та його команда в першу чергу використовують команди PowerShell для запуску віддаленого моніторингу та керування (RMM), який вони віддають перевагу. Зокрема, MeshCentral виділяється як унікальний інструментарій команди, який часто використовується в якості кращого програмного забезпечення з відкритим вихідним кодом для різних операцій». Zeus, який був ліквідований у 2014 році, та Evil Corp.
Варто зазначити, що в 2021 році операцію з вимагання Babuk було перейменовано на PayloadBIN, причому остання була пов’язана з Evil Corp, очевидно, у спробі обійти санкції, введені проти неї США у грудні 2019 року. “Цей технічний зв’язок у поєднанні з відомими відносинами між Вазавакою і горезвісним кіберзлочинцем Богачовим передбачає більш глибші зв’язки між Вазавакою, Богачовим та операціями Evil Corp”, – заявили в PRODAFT.
