Эксперты компании F.A.C.C.T. выяснили, что вымогатели из преступной группы Shadow и хактивисты из Twelve являются частью одной хак-группы. В своих атаках на российские компании и организации обе группы используют не только схожие тактики, техники и инструменты, но и общую сетевую инфраструктуру. Однако, если Shadow движет финансовая мотивация — за расшифровку данных вымогатели требуют от жертвы выкуп в размере 140-190 млн рублей, то цель Twelve — саботаж: в ходе атаки они полностью уничтожают ИТ-инфраструктуру жертвы, не требуя денег.
Впервые активность группы Shadow, атаковавшей несколько крупных российских компаний, специалисты Лаборатории компьютерной криминалистики компании F.A.C.C.T. зафиксировали в феврале-марте этого года. За последние полгода жертвами вымогателей становились промышленные, логистические, энергетические компании. За расшифровку данных злоумышленники Shadow требуют от жертвы сумму в размере $1,5-2 млн., примерно 140-190 млн рублей по текущему курсу.
Хакеров отличает тщательная подготовка к атакам — они методично захватывают ИТ-инфраструктуру жертвы, похищают конфиденциальную информацию и на последнем этапе атаки проводят полное шифрование инфраструктуры. Для шифрования Windows-систем вымогатели используют версию популярной программы-вымогателя LockBit, созданную с помощью одного из опубликованных в сентябре 2022 года билдеров. Для шифрования Linux-систем злоумышленники используют программу-вымогатель, созданную на основе опубликованных исходных кодов Babuk.
Для общения с каждой жертвой злоумышленники размещают в сети Tor панель с чатом, доступ в которую представитель атакованной компании получает при помощи персонального ключа из записки с требованием выкупа. Впоследствии общение с жертвой может вестись в Telegram-канале атакующих. Любопытно, что хакеры могут похищать сессии Telegram на компьютерах жертвы, благодаря чему члены банды могут получать информацию о ее действиях, список контактов сотрудников компании, а также напрямую писать в Telegram руководителям компании.
Параллельно с Shadow в феврале 2023 года были зафиксированы атаки на российские организации группы Twelve, целью которых являлось полное уничтожение ИТ-инфраструктуры жертвы. Именно эта группа — Twelve — весной 2023 года взяла на себя ответственность за кибератаку на структуры федеральной таможенной службы РФ, а в мае — на российского производителя гидравлического оборудования. В своих кампаниях Twelve использовали также версию программы-вымогателя LockBit, но в текстовом файле для жертвы указывали название группы Twelve и не оставляли своих контактов для обсуждения выкупа. В своем Telegram-канале хактивисты заявляли, что их проект — «это ответ мира на российские кибератаки».
В ходе реагирований на атаки шифровальщика Shadow криминалисты F.A.C.C.T. установили, что действия атакующих технически небезупречны. В одной из атак был выявлен цифровой след, на который обратили внимание специалисты: атакующие допустили ошибку, набрав первоначально в своей консоли команду PowerShell на украинской раскладке клавиатуры. Атакующие допускали ошибки и при шифровании ИТ-инфраструктуры жертвы, впоследствии в других атаках корректировали свои действия.
Анализ атак Shadow и Twelve показал, что тактики, техники и инструменты, используемые в атаках, идентичны и в некотором смысле шаблонны, как будто, атакующие действуют в соответствии с разработанными внутренними «мануалами». Также при конфигурировании программ-вымогателей Twelve учитывался опыт ошибок, допущенных Shadow. Более того, в одной из атак Twelve была использована сетевая инфраструктура Shadow.
«Мы с уверенностью можем утверждать, что Shadow и Twelve являются частью одной группы, атакующей Россию. Целью этой группы является нанесение максимального ущерба российским компаниям и организациям. При этом заметно, что у групп разная мотивация: где рационально с точки зрения атакующих требовать выкуп, они позиционируют себя как финансово мотивированные и действуют, как Shadow. В ином случае, если есть возможность получения резонанса, злоумышленники уничтожают инфраструктуру жертвы — и выступают, как Twelve».– Лаборатория компьютерной криминалистики компании F.A.C.C.T.
Напомним, что в текущем году программы-вымогатели останутся угрозой №1 для российского бизнеса — количество атак программ-вымогателей в России в этом году выросло на 50-60%.
Наиболее часто используемыми программами-вымогателями в России в первом полугодии 2023 года стали LokiLocker/BlackBit, Phobos, а также шифровальщики LockBit, Conti и Babuk. Жертвами чаще всего становятся российские ритейлеры, производственные, строительные, туристические и страховые компании. Средняя сумма выкупа колеблется от $10 000 до $100 000.
Сообщить об инциденте и провести оперативное реагирование можно, направив запрос в Лабораторию цифровой криминалистики компании F.A.C.C.T.
