Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, выпустила первое подробное исследование группировки «двойного назначения» Shadow/Twelve, активно атакующей российские организации. В отчете «Тени не скроются: Расследование атак группировки Shadow» эксперты Лаборатории цифровой криминалистики F.A.C.C.T. изучили десятки атак вымогателей Shadow, Comet, DARKSTAR и хактивистов Twelve, и детально изложили технические детали, на основании которых прослеживается тесная связь этих группировок.Специалисты Лаборатории цифровой криминалистики компании F.A.C.C.T. фиксировали атаки преступного синдиката Shadow (известного также как Comet, DARKSTAR) и Twelve на российские компании с февраля 2023 года. К июлю 2024 года эти злоумышленники атаковали не менее 50 организаций в России. Эксперты F.A.C.C.T. установили тесную взаимосвязь между Shadow и Twelve: они являются частями одной объединенной группы, которую так и назвали по первому имени — Shadow. В атаках группа применяла идентич-ные тактики, техники и процедуры, со временем совершенствуя их, помимо этого, специалистами F.A.C.C.T. выявлен уникальный почерк группы при использовании инструментов, а в ряде атак Shadow и Twelve одного периода времени зафиксирован факт использования общей сетевой инфраструктуры.Обнаруженный преступный синдикат продемонстрировал тенденцию — группы «двойного назначения», которые преследуют как финансовые, так и политические цели. В один период две совершенно разные на первый взгляд группировки с противоположными целями совершили атаки с использованием программ-вымогателей. «Подгруппы» проводили атаки на российские компании, но преследовали разные цели: Shadow заинтересована в вымогательстве денег, а Twelve стремилась к полному разрушению ИТ-инфраструктуры своих жертв.Участники Shadow чаще всего атаковали организации в сфере производства и инжиниринга — их доля составила 21,3%, логистики и доставки, ИТ (по 10,7%), строительства, телекоммуникаций и фи-нансовых услуг (по 7,1%). Кроме того, эта же группа сменила название на Comet и стала самым «жадным» вымогателем в 2023 году, потребовав от зашифрованной компании 321 млн рублей (около $3.5 млн),когда средняя сумма первоначального выкупа за расшифровку данных составляла 90 миллионов рублей. Кроме того, злоумышленники не брезговали любой наживой и не останавливались на атаках только на организации, но и похищали криптовалюту у их сотрудников. В некоторых случаях злоумышленники смогли получить доступ к аутентификационным данным в браузерах и менеджерах паролей, что позволило им получить доступ к платформам для управления криптовалютными активами и похитить финансовые средства физических лиц.В отличие от Shadow, в сообщениях в Telegram-канале Twelve указывалось, что группа преследует в своих атаках исключительно политические мотивы, а цели их атаки — кража конфиденциальной информации, диверсия и PR-эффект.В качестве начального вектора атаки группа «двойного назначения» использует уязвимости в публично доступных приложениях, доверительные отношения (Trusted Relationship), купленные на закрытых площадках учетные данные, внешние сервисы удаленного до-ступа RDP и VPN, и фишинг. Злоумышленники применяют для создания программ-вымогателей утекшие в публичный доступ билдеры и исходные коды LockBit 3 (Black) и Babuk для ESXi. Одним из фирменных приемов группы стала кража учетных записей в Telegram на устройствах жертв, что после проведения атак позволяло им шпионить за сотрудниками атакованной компании и оказывать дополнительное давление.
«Группа, а точнее сказать, кибербанда проводила атаки на российские компании с внешне разными целями. Под именем Shadow она была мотивирована жаждой наживы, а действуя как Twelve, стремилась к полному разрушению ИТ-инфраструктуры своих жертв. Для таких кибербанд не работают прежние подходы атрибуции, — отмечает руководитель Лаборатории цифровой криминалистики и исследования вредоносного кода компании F.A.C.C.T. Антон Величко. — Эти открытия не только демонстрируют высокую степень координации внутри кибербанд и между ними, но и подчеркивает серьезность угроз, с которыми сталкивается российский бизнес в условиях геополитического противостояния».
Напомним, что программы-вымогатели в 2024 году сохраняют за собой первое место в списке главных киберугроз для российских компаний.Все технические подробности исследованных атак, инструменты Shadow/Twelve, а также ряд рекомендаций по защите от подобных угроз подробно описаны в отчете «Тени не скроются: Расследование атак группировки Shadow» компании F.A.C.C.T.Исследование будет полезно руководителям групп кибербезопасности, аналитикам SOC, CERT, специалистам по реагированию на инциденты, Threat Intelligence и Threat Hunting, а также компаниям из различных секторов для подготовки проактивной защиты.
Источник: habr.com
Похожие новости:
Тень пентестера: эксперты F.A.C.C.T. исследовали неизвестные атаки вымогателей Shadow
Словили звезду: вымогатели из группы Shadow атакуют российские компании уже под новым именем — DARKSTAR
BI.ZONE представила ИБ‑исследование Threat Zone 2024, посвящённое российскому ландшафту киберугроз и хаккластеров
Кибершпионы, хактивисты, вымогатели: аналитики F.A.С.С.T. назвали главные киберугрозы 2024 года