Что скрывается в тени: F.A.С.С.T. проанализировал атаки вымогателей Shadow/Twelve на российские компании

Специалисты Лаборатории цифровой криминалистики компании F.A.C.C.T. фиксировали атаки преступного синдиката Shadow (известного также как Comet, DARKSTAR) и Twelve на российские компании с февраля 2023 года. К июлю 2024 года эти злоумышленники атаковали не менее 50 организаций в России. Эксперты F.A.C.C.T. установили тесную взаимосвязь между Shadow и Twelve: они являются частями одной объединенной группы, которую так и назвали по первому имени — Shadow. В атаках группа применяла идентичные тактики, техники и процедуры, со временем совершенствуя их, помимо этого, специалистами F.A.C.C.T. выявлен уникальный почерк группы при использовании инструментов, а в ряде атак Shadow и Twelve одного периода времени зафиксирован факт использования общей сетевой инфраструктуры.

Обнаруженный преступный синдикат продемонстрировал тенденцию — группы «двойного назначения», которые преследуют как финансовые, так и политические цели. В один период две совершенно разные на первый взгляд группировки с противоположными целями совершили атаки с использованием программ-вымогателей. «Подгруппы» проводили атаки на российские компании, но преследовали разные цели: Shadow заинтересована в вымогательстве денег, а Twelve стремилась к полному разрушению ИТ-инфраструктуры своих жертв.

Участники Shadow чаще всего атаковали организации в сфере производства и инжиниринга — их доля составила 21,3%, логистики и доставки, ИТ (по 10,7%), строительства, телекоммуникаций и финансовых услуг (по 7,1%). Кроме того, эта же группа сменила название на Comet и стала самым «жадным» вымогателем в 2023 году, потребовав от зашифрованной компании 321 млн рублей (около $3.5 млн),когда средняя сумма первоначального выкупа за расшифровку данных составляла 90 миллионов рублей.

Кроме того, злоумышленники не брезговали любой наживой и не останавливались на атаках только на организации, но и похищали криптовалюту у их сотрудников. В некоторых случаях злоумышленники смогли получить доступ к аутентификационным данным в браузерах и менеджерах паролей, что позволило им получить доступ к платформам для управления криптовалютными активами и похитить финансовые средства физических лиц.

В отличие от Shadow, в сообщениях в Telegram-канале Twelve указывалось, что группа преследует в своих атаках исключительно политические мотивы, а цели их атаки — кража конфиденциальной информации, диверсия и PR-эффект.

В качестве начального вектора атаки группа «двойного назначения» использует уязвимости в публично доступных приложениях, дове-рительные отношения (Trusted Relationship), купленные на закрытых площадках учетные данные, внешние сервисы удаленного доступа RDP и VPN, и фишинг. Злоумышленники применяют для создания программ-вымогателей утекшие в публичный доступ билдеры и исходные коды LockBit 3 (Black) и Babuk для ESXi. Одним из фирменных приемов группы стала кража учетных записей в Telegram на устройствах жертв, что после проведения атак позволяло им шпионить за сотрудниками атакованной компании и оказывать дополнительное давление.

«Группа, а точнее сказать, кибербанда проводила атаки на российские компании с внешне разными целями. Под именем Shadow она была мотивирована жаждой наживы, а действуя как Twelve, стремилась к полному разрушению ИТ-инфраструктуры своих жертв. Для таких кибербанд не работают прежние подходы атрибуции, — отмечает руководитель Лаборатории цифровой криминалистики и исследования вредоносного кода компании F.A.C.C.T. Антон Величко. — Эти открытия не только демонстрируют высокую степень координации внутри кибербанд и между ними, но и подчеркивает серьезность угроз, с которыми сталкивается российский бизнес в условиях геополитического противостояния».

Напомним, что программы-вымогатели в 2024 году сохраняют за собой первое место в списке главных киберугроз для российских компаний.

Все технические подробности исследованных атак, инструменты Shadow/Twelve, а также ряд рекомендаций по защите от подобных угроз подробно описаны в отчете «Тени не скроются: Расследование атак группировки Shadow» компании F.A.C.C.T.

Исследование будет полезно руководителям групп кибербезопасности, аналитикам SOC, CERT, специалистам по реагированию на инциденты, Threat Intelligence и Threat Hunting, а также компаниям из различных секторов для подготовки проактивной защиты.