F.A.С.С.T. исследовала атаки группировки Shadow/Twelve - IT Speaker, новости информационных технологий

F.A.С.С.T. исследовала атаки группировки Shadow/Twelve

Редакция

19:10 / 15 октября 2024

Компания F.A.C.C.T. опубликовала исследование атак группировки «двойного назначения» Shadow/Twelve, активно атакующей российские организации.

Фотография unsplash

Так, специалисты Лаборатории цифровой криминалистики компании F.A.C.C.T. фиксировали атаки преступного синдиката Shadow (известного также как Comet, DARKSTAR) и Twelve на российские компании с февраля 2023 года. К июлю 2024 года эти злоумышленники атаковали не менее 50 организаций в России.

Эксперты F.A.C.C.T. установили тесную взаимосвязь между Shadow и Twelve: они являются частями одной объединенной группы, которую так и назвали по первому имени — Shadow. В атаках группа применяла идентичные тактики, техники и процедуры, со временем совершенствуя их, помимо этого, специалистами F.A.C.C.T. выявлен уникальный почерк группы при использовании инструментов, а в ряде атак Shadow и Twelve одного периода времени зафиксирован факт использования общей сетевой инфраструктуры.

Обнаруженный преступный синдикат продемонстрировал тенденцию — группы «двойного назначения», которые преследуют как финансовые, так и политические цели. В один период две совершенно разные на первый взгляд группировки с противоположными целями совершили атаки с использованием программ-вымогателей. «Подгруппы» проводили атаки на российские компании, но преследовали разные цели: Shadow заинтересована в вымогательстве денег, а Twelve стремилась к полному разрушению ИТ-инфраструктуры своих жертв.

Участники Shadow чаще всего атаковали организации в сфере производства и инжиниринга — их доля составила 21,3%, логистики и доставки, ИТ (по 10,7%), строительства, телекоммуникаций и фи-нансовых услуг (по 7,1%). Кроме того, эта же группа сменила название на Comet и стала самым «жадным» вымогателем в 2023 году, потребовав от зашифрованной компании 321 млн рублей (около $3.5 млн), когда средняя сумма первоначального выкупа за расшифровку данных составляла 90 миллионов рублей.

В качестве начального вектора атаки группа «двойного назначения» использует уязвимости в публично доступных приложениях, доверительные отношения (Trusted Relationship), купленные на закрытых площадках учетные данные, внешние сервисы удаленного до-ступа RDP и VPN, и фишинг. Злоумышленники применяют для создания программ-вымогателей утекшие в публичный доступ билдеры и исходные коды LockBit 3 (Black) и Babuk для ESXi. Одним из фирменных приемов группы стала кража учетных записей в Telegram на устройствах жертв, что после проведения атак позволяло им шпионить за сотрудниками атакованной компании и оказывать дополнительное давление. 

Ранее специалисты Центра кибербезопасности компании F.A.C.C.T. обнаружили новый способ доставки майнера Xmrig — вредоносного ПО, предназначенного для скрытой добычи криптовалюты Monero. Доставка ведется при помощи настроенных автоматических autoreply-ответов со скомпрометированных почтовых адресов. Начиная с конца мая схема использовалась для атак на ведущие российские интернет-компании, ритейл и маркетплейсы, страховые и финансовые компании.

Поделиться новостью