Киберпандемия: Twelve продолжает сеять хаос в российской сети
Эксперты предупреждают о новой волне кибератак.
Весной 2024 года на киберпреступной сцене снова заявила о себе известная группировка Twelve. После короткого затишья, их активности вновь привлекли внимание экспертов в области кибербезопасности. В конце июня были зафиксированы атаки, при анализе которых специалисты обнаружили идентичные методы и инфраструктуру, ранее использованные этой группой. Это стало убедительным свидетельством того, что Twelve продолжает свою разрушительную деятельность и, вероятно, скоро снова попытается атаковать крупные цели.
Группировка Twelve возникла в апреле 2023 года и с тех пор специализируется на атаках против российских государственных компаний. Основная тактика группы заключается в шифровании данных жертв, что значительно осложняет восстановление информационной инфраструктуры. В результате таких действий организации оказываются в крайне уязвимом положении, часто без возможности восстановить утраченные данные. Этот метод указывает на основную цель злоумышленников — нанести максимальный ущерб.
Интересным является тот факт, что Twelve использует схожие техники и инструменты с другой киберпреступной группировкой DARKSTAR, что может свидетельствовать о принадлежности обеих групп к одному синдикату. В то время как DARKSTAR придерживается классической схемы вымогательства, Twelve явно действует с политическими и идеологическими мотивами.
В своих атаках Twelve активно использует уже известные инструменты, такие как Cobalt Strike, Mimikatz и ngrok, а также ряд веб-шеллов для проникновения в сети жертв и распространения своего вредоносного кода. Большая часть инструментов, которые применяет группа, доступна в открытых источниках, что делает их доступными даже для менее опытных злоумышленников.
Одна из характерных особенностей атак Twelve — использование методов социальной инженерии для получения доступа к внутренней сети компании-жертвы через подрядчиков. Получив доступ к инфраструктуре подрядчика, хакеры затем используют его учетные данные для проникновения в сеть основной компании.
Злоумышленники стараются маскировать свои действия, скрывая следы присутствия в системах и подделывая имена процессов под легитимные сервисы. Они также активно используют инструменты для очищения логов и других данных, которые могли бы помочь в их идентификации.
Одним из ярких примеров продвинутых методов, используемых Twelve, стал обнаруженный специалистами бэкдор FaceFish, который был внедрен в сервер VMware vCenter через уязвимости. Этот вредоносный код позволял злоумышленникам скрытно контролировать системы, собирая критическую информацию.
Основная стратегия группы направлена на максимальное разрушение критической инфраструктуры, кражу конфиденциальных данных и дискриминацию жертв путем публикации информации о взломе в публичных Telegram-каналах. Такой подход демонстрирует, что для Twelve важен не столько материальный, сколько идеологический эффект.
Группировка также применяет мощные шифровальщики, такие как LockBit 3.0, для блокирования данных жертв. В некоторых случаях они используют вайперы — программы, которые полностью уничтожают данные на жестких дисках, делая их восстановление невозможным.
С точки зрения защиты, эксперты подчеркивают важность своевременного обнаружения и предотвращения атак Twelve. Использование общедоступных инструментов и методов делает их действия предсказуемыми, что дает шансы на успешное отражение атак при правильной настройке средств защиты.
В заключение, киберпреступная группировка Twelve продолжает оставаться одной из самых опасных и активных в настоящее время. Ее атаки представляют серьезную угрозу для организаций, особенно тех, которые занимаются критически важной инфраструктурой. Специалисты по безопасности настоятельно рекомендуют предприятиям усилить меры защиты и быть готовыми к возможным атакам, которые могут нанести значительный ущерб и поставить под угрозу деятельность компаний.