Исследователи FACCT сообщили о «ребрендинге» финансово мотивированной группировки Shadow, которая похищает и шифрует данные российских компаний, а затем требует крупный выкуп (в размере 5-10% от годового дохода компании). Теперь злоумышленники называют себя Comet (C0met).
В начале сентября текущего года специалисты посвятили группировке Shadow, а также ее связи с хактивистами Twelve, развернутый отчет. Тогда отмечалось, что вымогатели из Shadow и хактивисты из Twelve, по сути, являются частью одной хак-группы, с общими инструментами, техниками, а в нескольких атаках — и с общей сетевой инфраструктурой.
Если Shadow действуют как обычные вымогатели (шифруют и воруют данные компаний, а затем требуют выкуп), то Twelve напротив позиционируют себя в качестве хактивистов, которые уничтожают ИТ-инфраструктуру жертвы на финальном этапе атаки. Именно эта группировка весной 2023 года взяла на себя ответственность за взлом федеральной таможенной службы РФ, а в мае — за кибертаку на российского производителя гидравлического оборудования.
Спустя около недели после публикации отчета FACCT, группировка Shadow провела «ребрендинг», то есть сменила название. Теперь российские компании атакует Comet (C0met).
Страница входа для жертв
Как и раньше злоумышленники используют в атаках зашифрованную версию программы LockBit 3 (Black), созданную с помощью одной и той же версии утекшего в открытый доступ билдера LockBit 3 (Black). Для Linux-систем атакующие используют вымогателя, созданного на основе исходных кодов Babuk.
Хотя участники группировки заявляют, что атакуют не только Россию, по данным исследователей, жертвы Shadow (C0met) и Twelve находятся только в российских городах, таких как: Москва, Санкт-Петербург, Барнаул, Екатеринбург, Ижевск, Череповец и так далее.
Злоумышленники «оправдываются» сложностью анализа зашифрованной версии LockBit 3, ссылаясь на то, что атрибуцию таких версий LockBit 3 (Black) сложно привязать к конкретной преступной группе.
В начале сентября текущего года специалисты посвятили группировке Shadow, а также ее связи с хактивистами Twelve, развернутый отчет. Тогда отмечалось, что вымогатели из Shadow и хактивисты из Twelve, по сути, являются частью одной хак-группы, с общими инструментами, техниками, а в нескольких атаках — и с общей сетевой инфраструктурой.
Если Shadow действуют как обычные вымогатели (шифруют и воруют данные компаний, а затем требуют выкуп), то Twelve напротив позиционируют себя в качестве хактивистов, которые уничтожают ИТ-инфраструктуру жертвы на финальном этапе атаки. Именно эта группировка весной 2023 года взяла на себя ответственность за взлом федеральной таможенной службы РФ, а в мае — за кибертаку на российского производителя гидравлического оборудования.
Спустя около недели после публикации отчета FACCT, группировка Shadow провела «ребрендинг», то есть сменила название. Теперь российские компании атакует Comet (C0met).
Страница входа для жертв
Как и раньше злоумышленники используют в атаках зашифрованную версию программы LockBit 3 (Black), созданную с помощью одной и той же версии утекшего в открытый доступ билдера LockBit 3 (Black). Для Linux-систем атакующие используют вымогателя, созданного на основе исходных кодов Babuk.
Хотя участники группировки заявляют, что атакуют не только Россию, по данным исследователей, жертвы Shadow (C0met) и Twelve находятся только в российских городах, таких как: Москва, Санкт-Петербург, Барнаул, Екатеринбург, Ижевск, Череповец и так далее.
Злоумышленники «оправдываются» сложностью анализа зашифрованной версии LockBit 3, ссылаясь на то, что атрибуцию таких версий LockBit 3 (Black) сложно привязать к конкретной преступной группе.
