Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, выпустила первое подробное исследование группировки «двойного назначения» Shadow/Twelve, активно атакующей российские организации. Эксперты Лаборатории цифровой криминалистики F.A.C.C.T. изучили десятки атак вымогателей Shadow, Comet, DARKSTAR и хактивистов Twelve. В отчете «Тени не скроются: Расследование атак группировки Shadow» эксперты Лаборатории цифровой криминалистики F.A.C.C.T. детально изложили технические детали, на основании которых прослеживается тесная связь этих группировок.
Специалисты Лаборатории цифровой криминалистики компании F.A.C.C.T. фиксировали атаки преступного синдиката Shadow (известного также как Comet, DARKSTAR) и Twelve на российские компании с февраля 2023 года. К июлю 2024 года эти злоумышленники атаковали не менее 50 организаций в России. Эксперты F.A.C.C.T. установили тесную взаимосвязь между Shadow и Twelve: они являются частями одной объединенной группы, которую так и назвали по первому имени — Shadow. В атаках группа применяла идентичные тактики, техники и процедуры, со временем совершенствуя их, помимо этого, специалистами F.A.C.C.T. выявлен уникальный почерк группы при использовании инструментов, а в ряде атак Shadow и Twelve одного периода времени зафиксирован факт использования общей сетевой инфраструктуры.
Обнаруженный преступный синдикат продемонстрировал тенденцию — группы «двойного назначения», которые преследуют как финансовые, так и политические цели. В один период две совершенно разные на первый взгляд группировки с противоположными целями совершили атаки с использованием программ-вымогателей. «Подгруппы» проводили атаки на российские компании, но преследовали разные цели: Shadow заинтересована в вымогательстве денег, а Twelve стремилась к полному разрушению ИТ-инфраструктуры своих жертв.
Участники Shadow чаще всего атаковали организации в сфере производства и инжиниринга — их доля составила 21,3%, логистики и доставки, ИТ (по 10,7%), строительства, телекоммуникаций и финансовых услуг (по 7,1%). Кроме того, эта же группа сменила название на Comet и стала самым «жадным» вымогателем в 2023 году, потребовав от зашифрованной компании 321 млн рублей (около $3.5 млн),когда средняя сумма первоначального выкупа за расшифровку данных составляла 90 миллионов рублей.
Кроме того, злоумышленники не брезговали любой наживой и не останавливались на атаках только на организации, но и похищали криптовалюту у их сотрудников. В некоторых случаях злоумышленники смогли получить доступ к аутентификационным данным в браузерах и менеджерах паролей, что позволило им получить доступ к платформам для управления криптовалютными активами и похитить финансовые средства физических лиц.
В отличие от Shadow, в сообщениях в Telegram-канале Twelve указывалось, что группа преследует в своих атаках исключительно политические мотивы, а цели их атаки — кража конфиденциальной информации, диверсия и PR-эффект.
В качестве начального вектора атаки группа «двойного назначения» использует уязвимости в публично доступных приложениях, дове-рительные отношения (Trusted Relationship), купленные на закрытых площадках учетные данные, внешние сервисы удаленного доступа RDP и VPN, и фишинг. Злоумышленники применяют для создания программ-вымогателей утекшие в публичный доступ билдеры и исходные коды LockBit 3 (Black) и Babuk для ESXi. Одним из фирменных приемов группы стала кража учетных записей в Telegram на устройствах жертв, что после проведения атак позволяло им шпионить за сотрудниками атакованной компании и оказывать дополнительное давление.
«Группа, а точнее сказать, кибербанда проводила атаки на российские компании с внешне разными целями. Под именем Shadow она была мотивирована жаждой наживы, а действуя как Twelve, стремилась к полному разрушению ИТ-инфраструктуры своих жертв. Для таких кибербанд не работают прежние подходы атрибуции. Эти открытия не только демонстрируют высокую степень координации внутри кибербанд и между ними, но и подчеркивает серьезность угроз, с которыми сталкивается российский бизнес в условиях геополитического противостояния».
Руководитель Лаборатории цифровой криминалистики и исследования вредоносного кода компании F.A.C.C.T.
Напомним, что программы-вымогатели в 2024 году сохраняют за собой первое место в списке главных киберугроз для российских компаний.
Все технические подробности исследованных атак, инструменты Shadow/Twelve, а также ряд рекомендаций по защите от подобных угроз подробно описаны в отчете «Тени не скроются: Расследование атак группировки Shadow» компании F.A.C.C.T.
Исследование будет полезно руководителям групп кибербезопасности, аналитикам SOC, CERT, специалистам по реагированию на инциденты, Threat Intelligence и Threat Hunting, а также компаниям из различных секторов для подготовки проактивной защиты.
