В начале сентября 2023 года система киберразведки F.A.C.C.T. Threat Intelligence обнаружила на сервере, который использовался неизвестными для атак на российские компании, открытую директорию с логами SQLMap, Metasploit, ProxyShell-Scanner и других доступных утилит для тестирования на проникновение.
Поскольку подобные инструменты не требуют глубоких знаний в области операционных систем, программирования или сетевых технологий, их нередко используют в атаках не очень опытные и не слишком квалифицированные злоумышленники. Каково же было удивление, когда в ходе дальнейшего анализа атак, техник, инструментов, сетевой и файловой инфраструктуры, была установлена связь "независимых" атакующих с крупной организованной преступной группой, известной как Shadow (Twelve/Comet/DARKSTAR).
Shadow — группа вымогателей, входящая в преступный синдикат Shadow-Twelve. Изначально считалось, что группа Shadow начала свою активность в феврале-марте 2023 года. В августе 2023 года криминалисты F.A.C.C.T. обнаружили общие инструменты, техники, а в некоторых случаях и общую сетевую инфраструктуру и установили, что Shadow и Twelve являются частью одной группы, атакующей Россию. В сентябре 2023, Shadow стали называть себя Comet, а недавно, в феврале 2024, группа снова переименовалась, но уже в DARKSTAR.
Эксперты Лаборатории цифровой криминалистики компании F.A.C.C.T. назвали Shadow “группой двойного назначения”, поскольку злоумышленники могут проводить как финансово, так и политически-мотивированные атаки. В первом случае Shadow похищают конфиденциальные данные из инфраструктуры жертв, а затем шифруют, требуя выкуп. В политически-мотивированных кампаниях, от имени Twelve публикуют похищенные данные и уничтожают инфраструктуру жертвы. Не исключено, что группа выбирает как поступить с жертвой уже после получения доступа и закрепления.
В атаках группа использует зашифрованную версию программы-вымогателя LockBit 3.0, созданную с помощью билдера для атак на Windows, а также модифицированную версию программы-вымогателя Babuk для атак на Linux. Максимальный размер выкупа, требуемый злоумышленниками в 2023 году, составил $3,5 млн.
В ходе исследования данных с обнаруженного сервера Борис Мартынюк, аналитик группы исследования сложных угроз департамента Threat Intelligence компании F.A.C.C.T., пришел к выводу, что Shadow начала атаки гораздо раньше весны 2023 года. С сентября 2022 по август 2023 года группой атакованы более 100 целей, из которых были получены доступы к инфраструктуре и базам данных как минимум десятка российских компаний. Все технические подробности исследования — в новом блоге.
