В последний день лета мы опубликовали новость о взаимосвязи двух преступных группировок, атакующих крупный российский бизнес. Речь шла о группах Shadow и Twelve.
Напомним, что вымогатели из Shadow работают исключительно "за деньги": группировка похищает и шифрует данные, а затем требуют крупный выкуп (в размере 5-10% от годового дохода компании) за расшифровку и не публикацию похищенной конфиденциальной информации.
Twelve же напротив позиционировала себя в качестве хактивистов: на финальном этапе атаки злоумышленники уничтожали ИТ-инфраструктуру жертвы, осуществляя шифрование всех данных без возможности расшифровки.
У Twelve есть свой канал Telegram, в котором злоумышленники хвалились "своими успехами", последняя запись сделана 15 августа 2023 года. Именно эта группа — Twelve — весной 2023 года взяла на себя ответственность за взлом федеральной таможенной службы РФ, а в мае — за кибертаку на российского производителя гидравлического оборудования.
В нашей публикации эксперты компании F.A.C.C.T. сделали выводы том, что Shadow и Twelve — по сути это одна хак-группа с общими инструментами, техниками, а в нескольких атаках — и с общей сетевой инфраструктурой.
Теперь они Comet
Спустя чуть более недели после нашей публикации группировка Shadow провела ребрендинг, теперь бюджеты российских компаний киберпреступники "чистят" под названием Comet (C0met).Окно входа на страницу жертвы
Атакующие, как и прежде, используют в атаках зашифрованную версию программы LockBit 3 (Black), созданную с помощью одной и той же версии утекшего в публичный доступ билдера LockBit 3 (Black). Для Linux-систем атакующие используют программу-вымогатель, созданную на основе исходных кодов Babuk.
Примечательно, что члены группировки Comet (C0met) заявляют об интернациональном составе группировки, и что они атакуют не только Россию. Преступники "прикрываются" сложностью анализа зашифрованной версии LockBit 3, а соответственно и атрибуции таких версий LockBit 3 (Black) к конкретной преступной групе. Содержимое текстового файла с требованием выкупа
Однако, по нашей информации, жертвы Shadow и Twelve, а теперь и Comet находятся только в российских городах, таких как: Москва, Санкт-Петербург, Барнаул, Екатеринбург, Ижевск, Череповец и другие.
В августе 2023 года специалисты F.A.C.C.T. совместно ИТ-специалистами крупной публичной компании России успешно отбили атаку Shadow / Twelve. Однако, поскольку злоумышленники не сумели реализовать свои планы, мы не можем сказать точно, какой "филиал" группировки проявил бы себя на финальном этапе атаки.
Также напоминаем, что атакующие могут осуществлять кражу сессий Telegram-клиентов, установленных на рабочих станциях. Полученные данные используются злоумышленниками для разведки у жертвы. А после шифрования ИТ-инфраструктуры участники группировки довольно нагло и вызывающе создают группы Telegram по инциденту, в которые добавляет ИТ-специалистов и руководство компании. Не попадитесь!
Сообщить об инциденте и провести реальное оперативное реагирование можно, направив запрос в Лабораторию цифровой криминалистики компании F.A.C.C.T.
Источник новости: habr.com
