Эксперты Лаборатории компьютерной криминалистики Group-IB зафиксировали атаки новой группы вымогателей Shadow на крупные российские компании. Группа активна, как минимум, с середины марта этого года. За расшифровку данных злоумышленники требуют от жертвы сумму от $1-2 млн. Для общения с каждой жертвой злоумышленники размещают в сети Tor панель с чатом, доступ в которую представитель атакованной компании получает при помощи персонального ключа из записки с требованием выкупа. Такая же система взаимодействия с жертвами используется в известных партнерских программах RaaS (Ransomware-as-a-Service).
Если компания откажется платить выкуп, представители Shadow угрожают опубликовать данные в даркнете (см записку от Shadow). Отметим, что ранее вымогатели практически не использовали в России подобный инструмент шантажа, ограничиваясь угрозами не предоставить ключ для расшифровки данных. Публикация скаченных данных жертв на DLS-сайтах характерна для атак вымогателей на компании из США, Европы, Азии. В качестве гарантий того, что преступники исполнят свои обещания, представители Shadow уверяют, что они не являются «политически мотивированными и их не интересует что-то еще, кроме денег».
Как выяснили криминалисты Group-IB, злоумышленники проникают в инфраструктуру жертв через уязвимые публичные сервисы, в т.ч. RDP-серверы. Данные компаний Shadow шифруют с помощью версии популярной программы-вымогателя LockBit3, собранного на основе появившегося в публичном пространстве исходного кода. Для Linux используется шифровальщик на основе исходных кодов вымогателя Babuk. В ходе расследования инцидента специалистами Group-IB выявлен факт ошибочного набора атакующими команды PowerShell на украинской раскладке клавиатуры. Кроме того, выявлены инструменты, аналогичные использованным в атаках неизвестной группировкой на российские банки в 2018 году.
Напомним, что по данным исследования Group-IB, в 2022 году количество кибератак финансово-мотивированных хакеров увеличилось почти в три раза по сравнению с 2021 годом. Самым популярным типом киберугроз, с которыми столкнулись во время реагирований эксперты Лаборатории компьютерной криминалистики Group-IB стали атаки с использованием программ-вымогателей — на них пришлось 68% всех инцидентов. Наиболее агрессивными группами программ-вымогателей в России в прошлом году стали Phobos, CryLock и Sojusz, а рекорд по сумме требуемого выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей.