Эксперты компании F.A.C.C.T. обнаружили, что группы Shadow и Twelve, активные в сфере хакерства, являются частями одной хак-группы. Обе эти группы используют схожие тактики, техники и инструменты, а также имеют общую сетевую инфраструктуру при осуществлении своих атак на российские компании и организации. Однако Shadow преследует финансовую выгоду, требуя от своих жертв выкуп в размере 140-190 миллионов рублей за расшифровку данных, в то время как Twelve нацелены на саботаж, полностью разрушая ИТ-инфраструктуру жертвы без требования выкупа.
Первые атаки со стороны группы Shadow на несколько крупных российских компаний были зафиксированы специалистами лаборатории компьютерной криминалистики F.A.C.C.T. в феврале-марте текущего года. За последние полгода промышленные, логистические и энергетические компании стали жертвами этих вымогателей. Shadow требует от своих жертв сумму в размере 1,5-2 миллиона долларов или примерно 140-190 миллионов рублей по текущему курсу за расшифровку данных.
Хакеры, действующие в этих группах, отличаются тщательной подготовкой к атакам. Они систематически атакуют ИТ-инфраструктуру жертв, воруют конфиденциальную информацию и затем полностью шифруют инфраструктуру на последнем этапе. Для шифрования данных на операционных системах Windows вымогатели используют специальную версию программы LockBit, созданную с помощью одного из доступных билдеров, опубликованных в сентябре 2022 года. Для шифрования данных на системах Linux они используют программу, основанную на опубликованных исходных кодах Babuk.
Каждая жертва поддерживает связь с злоумышленниками через сеть Tor, где размещена панель с чатом. Для доступа к этой панели представителю атакованной компании необходимо использовать персональный ключ, который прилагается к требованию выкупа. Позднее, общение с жертвой может продолжаться через Telegram-канал атакующих. Интересно отметить, что хакеры могут перехватывать сессии Telegram на компьютерах жертвы, что позволяет им получать информацию о действиях жертвы, список контактов сотрудников компании, а также отправлять сообщения руководству компании напрямую.
В феврале 2023 года параллельно с группой Shadow были зафиксированы атаки на российские организации со стороны группы Twelve, которая стремится полностью уничтожить ИТ-инфраструктуру своих жертв. Группа Twelve взяла на себя ответственность за кибератаку на федеральную таможенную службу России весной2023 года. Эти атаки были направлены на полное отключение таможенной службы и нарушение всей связанной с ней информационной инфраструктуры, включая серверы, базы данных и сетевое оборудование.
Группы Shadow и Twelve, хотя и имеют схожие методы и инфраструктуру, имеют разные цели и мотивации. Shadow нацелены на получение финансовой выгоды через вымогательство выкупа, в то время как Twelve стремится вызвать хаос и саботаж в целях полной дестабилизации компании или организации.
F.A.C.C.T. продолжает активно отслеживать деятельность этих хакерских групп, сотрудничает с правоохранительными органами и разрабатывает меры защиты и рекомендации для организаций, чтобы предотвратить подобные атаки и защитить свою информационную инфраструктуру.