15.10.2024 12:28
Технологии

Хакерская группировка "двойного назначения" охотится за российским бизнесом

Текст:  Юлия Гуреева
Преступный синдикат Shadow (известный также как Comet, DARKSTAR) и Twelve совершает "нападения" на российские компании. С февраля 2023 года по июль 2024 года от хакеров пострадало не менее 50 организаций.
Читать на сайте RG.RU

Shadow и Twelve - это части одной объединенной группы. Ее назвали по первому имени - Shadow. Злоумышленники применяют идентичные тактики, техники и процедуры, которые постоянно совершенствуют. Кроме того, некоторое время они даже использовали общую сетевую инфраструктуру, выяснили специалисты Лаборатории цифровой криминалистики компании F.A.C.C.T.

Эксперты рассказали, что этот синдикат показал тенденцию - группы "двойного назначения", преследующие финансовые и политические цели. Так, в один и тот же период две группировки, совершенно разные на первый взгляд, провели атаки с использованием программ-вымогателей. "Подгруппы" совершали атаки на российский бизнес, однако имели разные цели: Shadow стремилась к вымогательству денег, а Twelve - к полному разрушению IT-инфраструктуры своих жертв.

Shadow, как правило, атаковала компании, занимающиеся производством и инжинирингом (21,3%), IT, логистикой и доставкой (по 10,7%), строительством телекоммуникациями и финансовыми услугами (по 7,1%). Эта группа стала самым "жадным" вымогателем в прошлом году, так как потребовала от зашифрованной компании 321 млн рублей, в то время как средняя сумма первоначального выкупа составляла 90 млн рублей.

Причем Shadow не ограничивала себя организациями - она также похищала криптовалюту у их сотрудников.

Что касается Twelve, то она преследует только политические мотивы. Ее целями становится кража конфиденциальной информации, диверсия и PR-эффект.

На начальном этапе группа "двойного назначения", в частности, использует уязвимости в доступных приложениях, учетные данные, купленные на закрытых площадках, фишинг и т.д. Для создания программ-вымогателей преступники применяют утекшие в публичный доступ билдеры и исходные коды LockBit 3 (Black) и Babuk для ESXi. Одним из их фирменных приемов стала кража аккаунтов в Telegram, благодаря чему они могли шпионить за сотрудниками атакованной компании, оказывая дополнительное давление.

"Для таких кибербанд не работают прежние подходы атрибуции. Эти открытия не только демонстрируют высокую степень координации внутри кибербанд и между ними, но и подчеркивает серьезность угроз, с которыми сталкивается российский бизнес в условиях геополитического противостояния", - сказал руководитель Лаборатории Антон Величко.

Ранее в ГК "Солар" рассказывали, что основной целью хакеров при атаках на промышленность является шпионаж.

.tech