Эксперты по информационной безопасности изучили десятки атак хакеров-вымогателей Shadow/Twelve, Comet и DARKSTAR и выяснили тесную связь между группировками. Об этом «Газете.Ru» стало известно из исследования российской компании F.A.C.C.T.
Исследование показало, что группировка Shadow/Twelve является «двойного назначения», преследующей как финансовые, так и политические цели. В одном периоде две совершенно разные на первый взгляд группировки с противоположными целями совершили атаки с использованием программ-вымогателей. «Подгруппы» проводили атаки на российские компании, но преследовали разные цели: Shadow заинтересована в вымогательстве денег, а Twelve стремилась к полному разрушению ИТ-инфраструктуры своих жертв.
Эксперты F.A.C.C.T. установили, что Shadow чаще всего атаковала организации в сфере производства и инжиниринга, логистики и доставки, ИТ, строительства, телекоммуникаций и финансовых услуг. Кроме того, эта же группа сменила название на Comet и стала самым «жадным» вымогателем в 2023 году, потребовав от зашифрованной компании 321 млн руб., когда средняя сумма первоначального выкупа за расшифровку данных составляла 90 млн руб.
Злоумышленники не брезговали любой наживой и не останавливались на атаках только на организации, но и похищали криптовалюту у их сотрудников. В некоторых случаях злоумышленники смогли получить доступ к аутентификационным данным в браузерах и менеджерах паролей, что позволило им получить доступ к платформам для управления криптовалютными активами и похитить финансовые средства физических лиц.
В отличие от Shadow, в сообщениях в Telegram-канале Twelve указывалось, что группа преследует в своих атаках исключительно политические мотивы, а цели их атаки — кража конфиденциальной информации, диверсия и PR-эффект.
«Группа, а точнее сказать, кибербанда проводила атаки на российские компании с внешне разными целями. Под именем Shadow она была мотивирована жаждой наживы, а действуя как Twelve, стремилась к полному разрушению ИТ-инфраструктуры своих жертв. Для таких кибербанд не работают прежние подходы атрибуции,» – отмечает руководитель Лаборатории цифровой криминалистики и исследования вредоносного кода компании F.A.C.C.T. Антон Величко.
Программы-вымогатели, по данным F.A.C.C.T., в 2024 году сохраняют за собой первое место в списке главных киберугроз для российских компаний.
Ранее выяснилось, что российский провайдер вторые сутки не может отбиться от хакеров.