Shadow и Twelve - это части одной объединенной группы. Ее назвали по первому имени - Shadow. Злоумышленники применяют идентичные тактики, техники и процедуры, которые постоянно совершенствуют. Кроме того, некоторое время они даже использовали общую сетевую инфраструктуру, выяснили специалисты Лаборатории цифровой криминалистики компании F.A.C.C.T.
Эксперты рассказали, что этот синдикат показал тенденцию - группы "двойного назначения", преследующие финансовые и политические цели. Так, в один и тот же период две группировки, совершенно разные на первый взгляд, провели атаки с использованием программ-вымогателей. "Подгруппы" совершали атаки на российский бизнес, однако имели разные цели: Shadow стремилась к вымогательству денег, а Twelve - к полному разрушению IT-инфраструктуры своих жертв.
Shadow, как правило, атаковала компании, занимающиеся производством и инжинирингом (21,3%), IT, логистикой и доставкой (по 10,7%), строительством телекоммуникациями и финансовыми услугами (по 7,1%). Эта группа стала самым "жадным" вымогателем в прошлом году, так как потребовала от зашифрованной компании 321 млн рублей, в то время как средняя сумма первоначального выкупа составляла 90 млн рублей.
Причем Shadow не ограничивала себя организациями - она также похищала криптовалюту у их сотрудников.
Что касается Twelve, то она преследует только политические мотивы. Ее целями становится кража конфиденциальной информации, диверсия и PR-эффект.
На начальном этапе группа "двойного назначения", в частности, использует уязвимости в доступных приложениях, учетные данные, купленные на закрытых площадках, фишинг и т.д. Для создания программ-вымогателей преступники применяют утекшие в публичный доступ билдеры и исходные коды LockBit 3 (Black) и Babuk для ESXi. Одним из их фирменных приемов стала кража аккаунтов в Telegram, благодаря чему они могли шпионить за сотрудниками атакованной компании, оказывая дополнительное давление.
"Для таких кибербанд не работают прежние подходы атрибуции. Эти открытия не только демонстрируют высокую степень координации внутри кибербанд и между ними, но и подчеркивает серьезность угроз, с которыми сталкивается российский бизнес в условиях геополитического противостояния", - сказал руководитель Лаборатории Антон Величко.
Ранее в ГК "Солар" рассказывали, что основной целью хакеров при атаках на промышленность является шпионаж.