Среди многочисленных вымогателей, атакующих российский бизнес, наиболее изощренной является недавно обнаруженная, но довольно амбициозная группа — Shadow. Тщательно готовясь к проведению каждой атаки, похищая конфиденциальные данные и полностью шифруя инфраструктуру жертвы, хакеры рассчитывают на солидный по российским меркам выкуп в размере 140-190 млн рублей, и очень не любят, когда добыча ускользает у них из-под носа.
После того, как во время недавнего реагирования криминалисты F.A.C.C.T. совместно со ИT-специалистами одной крупной организации успешно отбили атаку Shadow, вымогатели в отместку организовали мощный DDoS на веб-сайт несостоявшейся жертвы. И это неудивительно. Исследуя кампании Shadow, эксперты компании F.A.C.C.T. обнаружили связи вымогателей с хактивистами из группы Twelve и сделали выводы том, что это одна хак-группа с общими инструментами, техниками, а в нескольких атаках — и с общей сетевой инфраструктурой.
Тень
Впервые группа Shadow громко заявила о себе в феврале-марте 2023 года серией атак на крупный российский бизнес. За последние полгода жертвами вымогателей становились промышленные, логистические, энергетические компании. За расшифровку данных Shadow требовали от жертв выкуп в размере $1,5-2 млн., примерно 140-190 млн рублей по текущему курсу.
Группа тщательно готовится к атакам. Используемые в них методы характеризуют участников группы как достаточно опытных в проведении подобных кампаний.
Хакеры методично захватывают ИТ-инфраструктуру жертвы, похищают конфиденциальную информацию и на последнем этапе осуществляют полное шифрование инфраструктуры жертвы.
Для шифрования Windows-систем используется запароленная версия программы-вымогателя LockBit, созданная с помощью одного из опубликованных в сентябре 2022 года билдера. Для шифрования Linux-систем злоумышленники используют программу-вымогатель, созданную на основе опубликованных исходных кодов Babuk.
В текстовом файле с требованием выкупа атакующие помещают ссылку в Tor и идентификатор для доступа жертвы к чату с атакующими. Для каждой жертвы ссылка Tor и идентификатор уникальны.
Впоследствии общение с жертвой может осуществляться в Telegram-канале атакующих.
Компания F.A.C.C.T. одной из первой столкнулась на реагированиях с последствиями атак Shadow в марте 2023 года. Одной из "визитных карточек" группы стало похищение сессий Telegram на компьютерах жертвы, благодаря чему члены банды могут получать информацию о ее действиях, список контактов сотрудников компании, а также напрямую писать в Telegram руководителям компании. Поэтому одна из рекомендаций — в случае атаки необходимо завершить все сессии Telegram, которые были авторизованы на компьютерах в пораженной инфраструктуре (при этом в списках сессий нелегитимных устройств увидеть не удастся, потому как атакующие копируют и используют токены с компьютеров пораженной инфраструктуры, — прим. ред).
Анализ нескольких атак Shadow показал, что действия атакующих небезупречны. В одной из кампаний специалисты F.A.C.C.T. обратили внимание на цифровой след: атакующие допустили ошибку, набрав первоначально в своей консоли команду PowerShell на украинской раскладке клавиатуры.
Допускали хакеры ошибки и при шифровании ИТ-инфраструктуры жертвы, впоследствии в других атаках корректировали свои действия. Криминалисты пришли к выводу, что тактики, техники и инструменты, используемые в атаках Shadow, идентичны и в некотором смысле шаблонны, как будто, атакующие действуют в соответствии с разработанными внутренними "мануалами".
В последней атаке в качестве начального вектора атакующие использовали фишинговую рассылку с программой-стилером DarkGate, новая волна распространения которой началась весной 2023 года.
Двенадцать
В феврале 2023 года были зафиксированы атаки на российские организации с целью уничтожения их ИТ-инфраструктуры. Для саботажа использовалась также запароленная версия программы-вымогателя LockBit, но в создаваемом ею текстовом файле указывалось название другой группы — Twelve и отсутствовали какие-либо контактные данные атакующих.
Именно эта группа — Twelve — весной 2023 года взяла на себя ответственность за взлом федеральной таможенной службы РФ, а в мае — за кибертаку на российского производителя гидравлического оборудования.
Анализ атак показал, что тактики и техники, а также инструменты группы Twelve оказались идентичны Shadow. Также при конфигурировании программ-вымогателей Twelve учитывался опыт ошибок, допущенных Shadow. Более того — в одной из атак Twelve была использована сетевая инфраструктура Shadow.
Специалисты Лаборатории компьютерной криминалистики компании F.A.C.C.T. считают, что Shadow и Twelve являются частью одной группы, атакующей Россию. Целью этой группы является нанесение максимального ущерба российским компаниям и организациям. При этом заметно, что у групп разная мотивация: где рационально с точки зрения атакующих требовать выкуп, они позиционируют себя как финансово мотивированные и действуют, как Shadow. В ином случае, если есть возможность получения резонанса, злоумышленники уничтожают инфраструктуру жертвы — и выступают, как Twelve.
Напомним, что в текущем году программы-вымогатели останутся угрозой №1 для российского бизнеса — количество атак программ-вымогателей в России в этом году выросло на 50-60%.
Наиболее часто используемыми программами-вымогателями в России в первом полугодии 2023 года стали LokiLocker/BlackBit, Phobos, а также шифровальщики LockBit, Conti и Babuk. Жертвами чаще всего становятся российские ритейлеры, производственные, строительные, туристические и страховые компании. Средняя сумма выкупа колеблется от $10 000 до $100 000.
Сообщить об инциденте и провести оперативное реагирование можно, направив запрос в Лабораторию цифровой криминалистики компании F.A.C.C.T.
