В тени вымогательства: Shadow и Twelve против российского бизнеса

Российские эксперты опубликовали детальное исследование деятельности хакерской группировки «двойного назначения» под названием Shadow/Twelve, которая активно атакует российские организации. В отчете «Тени не скроются: Расследование атак группировки Shadow» специалисты проанализировали множество атак вымогателей Shadow, Comet, DARKSTAR и хактивистов Twelve, предоставив технические доказательства тесной связи между этими группировками.

С февраля 2023 года по июль 2024 года преступный синдикат Shadow (также известный как Comet и DARKSTAR) и Twelve атаковали не менее 50 российских организаций. Исследователи установили, что Shadow и Twelve являются частями одной объединенной группы, получившей название Shadow. Группировка использовала идентичные тактики, техники и процедуры, постоянно совершенствуя их. Кроме того, был выявлен уникальный почерк группы при использовании инструментов, а в некоторых атаках Shadow и Twelve использовалась общая сетевая инфраструктура.

Этот преступный синдикат демонстрирует новую тенденцию - группы «двойного назначения», преследующие как финансовые, так и политические цели. В одно и то же время две внешне различные группировки с противоположными целями проводили атаки с использованием программ-вымогателей. «Подгруппы» атаковали российские компании, но преследовали разные цели: Shadow стремилась к вымогательству денег, а Twelve - к полному уничтожению ИТ-инфраструктуры жертв.

Shadow чаще всего атаковала организации в сфере производства и инжиниринга (21,3%), логистики и доставки, ИТ (по 10,7%), строительства, телекоммуникаций и финансовых услуг (по 7,1%). Позже эта группа сменила название на Comet и стала самым «жадным» вымогателем в 2023 году, потребовав от одной зашифрованной компании 321 млн рублей (около $3.5 млн), при средней сумме первоначального выкупа в 90 миллионов рублей.

Злоумышленники не ограничивались атаками на организации, но также похищали криптовалюту у их сотрудников. В некоторых случаях они получали доступ к аутентификационным данным в браузерах и менеджерах паролей, что позволяло им проникать на платформы для управления криптовалютными активами и красть средства физических лиц.

В отличие от Shadow, Twelve заявляла в своем Telegram-канале, что преследует исключительно политические мотивы, стремясь к краже конфиденциальной информации, диверсиям и PR-эффекту.

Для начального вектора атаки группа «двойного назначения» использует уязвимости в публично доступных приложениях, доверительные отношения, купленные на закрытых площадках учетные данные, внешние сервисы удаленного доступа RDP и VPN, а также фишинг. Для создания программ-вымогателей применяются утекшие в публичный доступ билдеры и исходные коды LockBit 3 (Black) и Babuk для ESXi. Одной из отличительных черт группы стала кража учетных записей Telegram на устройствах жертв, что позволяло им шпионить за сотрудниками атакованных компаний и оказывать дополнительное давление.