В компании FACCT выяснили, что вымогатели из группировки Shadow и хактивисты из Twelve являются частью одной хак-группы. В своих атаках на российские компании и организации обе группы используют не только схожие тактики, техники и инструменты, но и общую сетевую инфраструктуру.
Тогда как Shadow движет финансовая мотивация (за расшифровку данных вымогатели требуют от жертвы выкуп в размере 140-190 млн рублей), то цель Twelve — саботаж: в ходе атаки они полностью уничтожают ИТ-инфраструктуру жертвы, не требуя денег.
Впервые активность группы Shadow, атаковавшей несколько крупных российских компаний, была обнаружена в феврале-марте этого года. За последние полгода жертвами вымогателей становились промышленные, логистические, энергетические компании. За расшифровку данных злоумышленники Shadow требуют от жертвы сумму в размере 1,5-2 млн долларов (то есть около 140-190 млн рублей по текущему курсу).
Исследователи пишут, что эту группу отличает тщательная подготовка к атакам — они методично захватывают ИТ-инфраструктуру жертвы, похищают конфиденциальную информацию и на последнем этапе атаки проводят полное шифрование инфраструктуры.
Для шифрования Windows-систем вымогатели используют версию популярного вымогателя LockBit, созданную с помощью одного из опубликованных в сентябре 2022 года билдеров. Для шифрования Linux-систем злоумышленники используют программу-вымогатель, созданную на основе опубликованных исходных кодов Babuk.
Для общения с каждой жертвой злоумышленники размещают в сети Tor панель с чатом, доступ в которую представитель атакованной компании получает при помощи персонального ключа из записки с требованием выкупа. Впоследствии общение с жертвой может вестись в Telegram-канале атакующих.
Тогда как Shadow движет финансовая мотивация (за расшифровку данных вымогатели требуют от жертвы выкуп в размере 140-190 млн рублей), то цель Twelve — саботаж: в ходе атаки они полностью уничтожают ИТ-инфраструктуру жертвы, не требуя денег.
Впервые активность группы Shadow, атаковавшей несколько крупных российских компаний, была обнаружена в феврале-марте этого года. За последние полгода жертвами вымогателей становились промышленные, логистические, энергетические компании. За расшифровку данных злоумышленники Shadow требуют от жертвы сумму в размере 1,5-2 млн долларов (то есть около 140-190 млн рублей по текущему курсу).
Исследователи пишут, что эту группу отличает тщательная подготовка к атакам — они методично захватывают ИТ-инфраструктуру жертвы, похищают конфиденциальную информацию и на последнем этапе атаки проводят полное шифрование инфраструктуры.
Для шифрования Windows-систем вымогатели используют версию популярного вымогателя LockBit, созданную с помощью одного из опубликованных в сентябре 2022 года билдеров. Для шифрования Linux-систем злоумышленники используют программу-вымогатель, созданную на основе опубликованных исходных кодов Babuk.
Для общения с каждой жертвой злоумышленники размещают в сети Tor панель с чатом, доступ в которую представитель атакованной компании получает при помощи персонального ключа из записки с требованием выкупа. Впоследствии общение с жертвой может вестись в Telegram-канале атакующих.
Отмечается, что хакеры могут похищать сессии Telegram на компьютерах жертвы, благодаря чему члены группировки могут получать информацию о ее действиях, список контактов сотрудников компании, а также напрямую писать в Telegram руководителям.
Параллельно с Shadow, в феврале 2023 года, были зафиксированы атаки на российские организации группы Twelve, целью которых являлось полное уничтожение ИТ-инфраструктуры жертвы.
Именно Twelve весной 2023 года взяла на себя ответственность за кибератаку на структуры федеральной таможенной службы РФ, а в мае — на российского производителя гидравлического оборудования. В своих кампаниях Twelve тоже использовали версию вымогателя LockBit, но в текстовом файле для жертвы указывали название группы Twelve и не оставляли своих контактов для обсуждения выкупа. В своем Telegram-канале хактивисты заявляли, что их проект — «это ответ мира на российские кибератаки».
Как сообщается теперь, в ходе реагирований на атаки шифровальщика Shadow криминалисты FACCT установили, что действия атакующих технически небезупречны. В одной из атак был выявлен цифровой след: атакующие допустили ошибку, набрав первоначально в своей консоли команду PowerShell на украинской раскладке клавиатуры. Атакующие допускали ошибки и при шифровании ИТ-инфраструктуры жертвы, впоследствии в других атаках корректировали свои действия.
Параллельно с Shadow, в феврале 2023 года, были зафиксированы атаки на российские организации группы Twelve, целью которых являлось полное уничтожение ИТ-инфраструктуры жертвы.
Именно Twelve весной 2023 года взяла на себя ответственность за кибератаку на структуры федеральной таможенной службы РФ, а в мае — на российского производителя гидравлического оборудования. В своих кампаниях Twelve тоже использовали версию вымогателя LockBit, но в текстовом файле для жертвы указывали название группы Twelve и не оставляли своих контактов для обсуждения выкупа. В своем Telegram-канале хактивисты заявляли, что их проект — «это ответ мира на российские кибератаки».
Как сообщается теперь, в ходе реагирований на атаки шифровальщика Shadow криминалисты FACCT установили, что действия атакующих технически небезупречны. В одной из атак был выявлен цифровой след: атакующие допустили ошибку, набрав первоначально в своей консоли команду PowerShell на украинской раскладке клавиатуры. Атакующие допускали ошибки и при шифровании ИТ-инфраструктуры жертвы, впоследствии в других атаках корректировали свои действия.
Анализ атак Shadow и Twelve показал, что тактики, техники и инструменты, используемые в атаках, идентичны и в некотором смысле шаблонны, будто, атакующие действуют в соответствии с разработанными внутренними «мануалами».
Также при конфигурировании программ-вымогателей Twelve учитывался опыт ошибок, допущенных Shadow. Более того, в одной из атак Twelve была использована сетевая инфраструктура Shadow.
Также при конфигурировании программ-вымогателей Twelve учитывался опыт ошибок, допущенных Shadow. Более того, в одной из атак Twelve была использована сетевая инфраструктура Shadow.
«Мы с уверенностью можем утверждать, что Shadow и Twelve являются частью одной группы, атакующей Россию. Целью этой группы является нанесение максимального ущерба российским компаниям и организациям. При этом заметно, что у групп разная мотивация: где рационально с точки зрения атакующих требовать выкуп, они позиционируют себя как финансово мотивированные и действуют, как Shadow. В ином случае, если есть возможность получения резонанса, злоумышленники уничтожают инфраструктуру жертвы — и выступают, как Twelve», — комментируют эксперты.
Источник: Хакер