Ο υπόγειος κυβερνοεγκληματικός κόσμος είδε μια αξιοσημείωτη εξέλιξη στις 22 Μαρτίου 2026, όταν εμφανίστηκε στον σκοτεινό ιστό ένας νέος ιστότοπος διαρροής που βασίζεται σε Tor, ονόματι «ALP-001», μάρκετινγκ ανοιχτά ως «Διαρροές δεδομένων / Αγορά πρόσβασης».
Η εμφάνιση αυτής της πλατφόρμας δείχνει μια αυξανόμενη τάση όπου καθιερωμένοι παράγοντες απειλών που παραδοσιακά πωλούν εταιρική πρόσβαση στο δίκτυο πιέζουν τώρα για εκβιασμό πλήρους κλίμακας.
Οι ερευνητές ασφαλείας προειδοποιούν ότι αυτό θα μπορούσε να αντιπροσωπεύει μια σημαντική αλλαγή στον τρόπο με τον οποίο λειτουργούν οι μεσίτες αρχικής πρόσβασης, συγχωνεύοντας την κλοπή δεδομένων με την έκθεση των θυμάτων για μέγιστη μόχλευση.
Το ALP-001 δεν εμφανίστηκε από το πουθενά. Ο ιστότοπος φέρει σαφείς δείκτες ενός καλά οργανωμένου παράγοντα απειλής που έχει αναπτύξει παρουσία σε πολλά φόρουμ σκοτεινού ιστού τουλάχιστον από τον Ιούλιο του 2024.
Κατά τη διάρκεια εκείνης της περιόδου, ο όμιλος ήταν κυρίως γνωστός για την πώληση μη εξουσιοδοτημένης πρόσβασης σε παραβιασμένα εταιρικά συστήματα, με ιδιαίτερη έμφαση σε περιμετρικές συσκευές με πρόσβαση στο Διαδίκτυο και πύλες απομακρυσμένης πρόσβασης.
Αυτή η κίνηση σηματοδοτεί μια απότομη κλιμάκωση των προθέσεων, υποδηλώνοντας ότι η ομάδα βλέπει τώρα τον εκβιασμό ως βασικό μέρος της λειτουργίας της.
Οι αναλυτές της ReliaQuest εντόπισαν το ALP-001 και συνέδεσε άμεσα την ομάδα με έναν ενεργό Initial Access Broker που λειτουργεί σε εξέχοντα υπόγεια φόρουμ, συμπεριλαμβανομένων των Exploit και DarkForums.
Διασταυρώνοντας τα αναγνωριστικά Tox και Session ID που εμφανίζονται στον ιστότοπο διαρροής, οι ερευνητές επιβεβαίωσαν ότι τα ίδια αναγνωριστικά επαφής χρησιμοποιούνταν ήδη από έναν γνωστό λογαριασμό φόρουμ IAB.
Αυτή η ομάδα είχε προηγουμένως τις ονομασίες «Alpha Group» και «DGJT Group», δίνοντας στους ερευνητές αρκετά ιστορικά δεδομένα για να δημιουργήσουν ένα χρονοδιάγραμμα δραστηριότητας που έφτανε σχεδόν δύο χρόνια πίσω.
Ένα ισχυρό επιβεβαιωτικό στοιχείο προέκυψε όταν οι αναλυτές συνέκριναν τα θύματα που αναφέρονται στο ALP-001 με προηγούμενες θέσεις πώλησης πρόσβασης σε υπόγεια φόρουμ.
Μια γαλλική κατασκευαστική εταιρεία με αναφερόμενα ετήσια έσοδα 543 εκατομμυρίων δολαρίων, που εμφανίζεται στον ιστότοπο διαρροής ως νέο θύμα, ταίριαξε ακριβώς με μια πώληση πρόσβασης στον ίδιο λογαριασμό φόρουμ που δημοσιεύτηκε τον Ιανουάριο του 2026.
Αυτή η άμεση σύνδεση μεταξύ του ιστότοπου διαρροής και της δραστηριότητας του φόρουμ άφησε ελάχιστες αμφιβολίες σχετικά με την απόδοση και επιβεβαίωσε τη μετάβαση του ομίλου από την πώληση πρόσβασης στον εκβιασμό δεδομένων.
Η επιφάνεια επίθεσης που στοχεύει αυτή η ομάδα είναι ευρεία και σκόπιμη. Το IAB επωφελήθηκε ιστορικά από τις παραβιασμένες περιμετρικές τεχνολογίες, εστιάζοντας στην ευρέως χρησιμοποιούμενη εταιρική υποδομή που παρέχει βαθιά πρόσβαση σε εταιρικά περιβάλλοντα μόλις παραβιαστούν.
Τα γνωστά τους διανύσματα επίθεσης καλύπτουν διακομιστές FTP και SSH, συσκευές VPN Fortinet και FortiGate, εξοπλισμό Cisco, πύλες Citrix και RDWeb και συστήματα απομακρυσμένης πρόσβασης GlobalProtect.
Αυτοί οι στόχοι επιλέγονται προσεκτικά επειδή έχουν σχεδόν πάντα πρόσβαση στο διαδίκτυο, διαθέτουν σημαντικά προνόμια και εμφανίζονται με συνέπεια σε μεγάλους οργανισμούς παγκοσμίως.
Οι αναλυτές της ReliaQuest σημείωσαν ότι το ALP-001 έχει συνδεθεί με τουλάχιστον 10 λογαριασμούς IAB κατανεμημένους σε έξι φόρουμ σκοτεινού ιστού, με την πρώτη γνωστή δραστηριότητα του ομίλου να χρονολογείται από τον Ιούλιο του 2024.
Σε αυτούς τους λογαριασμούς, η ομάδα διαφήμιζε επανειλημμένα μη εξουσιοδοτημένη πρόσβαση σε εταιρικούς οργανισμούς μέσω παραβιασμένων διακομιστών FTP, VPN Fortinet/FortiGate, GlobalProtect και Citrix.
Αυτό το επίπεδο δραστηριότητας σε πολλές πλατφόρμες σηματοδοτεί έναν παράγοντα απειλής που έχει σκόπιμα διατηρήσει παράλληλες ταυτότητες για να επεκτείνει την προσέγγιση και να μειώσει τον κίνδυνο διακοπής σε οποιοδήποτε μεμονωμένο φόρουμ.
Αυτό που κάνει αυτή την κλιμάκωση πιο ανησυχητική είναι η εδραιωμένη αξιοπιστία της ομάδας στους εγκληματικούς κύκλους. Σε υπόγεια φόρουμ, ο όμιλος λειτουργούσε με καθεστώς μεσεγγυημένης επαλήθευσης, που σημαίνει ότι οι αγοραστές τους εμπιστεύονταν να πραγματοποιήσουν αυτό που υποσχέθηκαν.
Οι υπερασπιστές που αντιμετωπίζουν αυτήν την απειλή θα πρέπει να ελέγχουν και να επιδιορθώνουν όλες τις συσκευές αιχμής που αντιμετωπίζουν το Διαδίκτυο, ιδιαίτερα τις λύσεις Fortinet, Cisco και Citrix, καθώς αυτές αντιπροσωπεύουν τα σημεία εισόδου που χρησιμοποιούνται συχνότερα από την ομάδα.
Οι ομάδες ασφαλείας θα πρέπει επίσης να αναζητούν ενδείξεις επίμονης πρόσβασης, συμπεριλαμβανομένων μη εξουσιοδοτημένων περιόδων σύνδεσης, ασυνήθιστων εξερχόμενων μεταφορών μέσω FTP ή SCP και παράτυπης προνομιακής συμπεριφοράς λογαριασμού.
