Несколько дней назад крупная российская компания была атакована с использованием программ-вымогателей, часть ее ИТ-инфраструктуры оказалась зашифрованной. Текст записки с требованием выкупа за расшифровку данных сразу вызвал у специалистов Лаборатории криминалистики компании F.A.C.C.T., подозрение, что они имеют дело с хорошо знакомыми "заклятыми друзьями", несмотря на то, что в записке было указано название новой неизвестной группы – DARKSTAR.
При изучении обстоятельств атаки специалисты Лаборатории увидели уже "до боли" знакомые тактики, техники, процедуры (TTPs) и инструменты. Каждая находка была уже заранее ожидаемой, каждый найденный цифровой отпечаток только убеждал в правоте первоначальных подозрений. "Пирамида боли" Дэвида Бьянко лишний раз подтверждает, что сложнее всего изменить свой почерк и выработанные привычки.
Без сомнения, компанию атаковала группа Shadow, которая почти уже год осуществляет атаки на крупные российские компании. Группа, как криминальный авторитет, меняет свои клички, сначала они были Shadow, потом Comet, а сейчас уже DARKSTAR. Справедливо указывать эти названия лишь в привязке к первоначальному основному названию группы Shadow.
Ущерб, нанесенный компании в результате атаки, мог быть гораздо больше, однако, за прошедший год многие компании усилили меры безопасности, благодаря чему важная часть инфраструктуры осталась нетронутой.
В атаке для шифрования файлов использовались все те же программы-вымогатели LockBit 3 (Black) и Babuk, а также такие утилиты, как ngrok и AnyDesk, и некоторые свои уникальные инструменты.
Для общения с жертвой также создается панель в сети Tor. Титульное изображение на странице входа DARKSTAR было создано только 29 января, также на ней видны некоторые огрехи поспешного дизайна (см. Рис 3).
Со временем прояснилась и судьба ранее похищенных Shadow данных, ведь у группы нет своего сайта утечек (DLS), и соответственно она не имеет возможности публикации данных для общего доступа. Спустя некоторое время на ресурсах, преимущественно аффилированных с одной соседней недружественной страной, стали появляться объявления о продаже похищенных Shadow данных.
С момента своего появления Shadow заявляет, что она не является политически мотивированной группой, все, что интересует участников группы, так это только деньги жертв. В записке с требованием выкупа Shadow это было сказано явно, в записке Comet коротко, что причина атаки одна – деньги, а в записке же DarkStar все эти фразы вовсе убраны, потому что всем давно уже очевидно, что это не так.
Кроме того, как уже выяснили специалисты F.A.C.C.T., группа Shadow тесно взаимосвязана с группой Twelve, осуществляющей кибердиверсии на российских предприятиях. Есть основания считать, что это один преступный синдикат, имеющий одну цель – нанесение максимального ущерба, но эта цель достигается различными способами.
В целом, с осени 2023 года выросло число групп, осуществляющих атаки с использованием программ-вымогателей. Некоторые группы имеют схожие c Shadow TTPs, особенно на начальных этапах атаки. Между этими группами и Shadow существует явная кооперация. Стоит отметить, что все данные атаки осуществляются не против отдельных российских юридических лиц, а по политическим мотивам против России в целом.
Эксперты F.A.C.C.T. полагают, что эта кооперация обусловлена привлечением для атак новых групп "пентестеров" на фоне текущей геополитической ситуации и передачи им опыта "старших товарищей" для проведения атак. В то же время эти новые группы с похожими TTPs создают некоторый "шум", усложняющий идентификацию атакующих.
Среди тенденций аналитики отмечают взлом инфраструктуры партнеров и подрядчиков для организации атак на связанные с ними крупные компании. Проникновение в инфраструктуру подрядчика позволяет злоумышленникам атаковать несколько крупных компаний в один период времени. Отечественные компании стали больше уделять внимания своей информационной безопасности, но атакующие каждый раз также ищут новые способы и лазейки для проведения успешных атак.
P.S. Специалисты компании F.A.C.C.T. продолжают следить за активностью новой группы DARKSTAR. Собранные в ходе реагирований индикаторы компрометации позже будут опубликованы в публичном доступе. Сообщить об инциденте и провести оперативное реагирование можно, направив запрос в Лабораторию цифровой криминалистики компании F.A.C.C.T.