Эксперты F.A.C.C.T. раскрыли сетевую инфраструктуру преступного синдиката Comet (Shadow)/Twelve

Специалисты Лаборатории цифровой криминалистики компании F.A.C.C.T. фиксируют новые атаки преступного синдиката...

Специалисты Лаборатории цифровой криминалистики компании F.A.C.C.T. фиксируют новые атаки преступного синдиката Comet (ранее Shadow) / Twelve и их сообщников на российские компании. Эксперты полагают, что имеют дело с группой «двойного назначения» и для эффективного противодействия киберпреступникам публикуют списки инструментов и адресов, который злоумышленники использовали в своих атаках, начиная с начала 2023 г. Об этом CNews сообщили представители F.A.C.C.T.

Comet (ранее Shadow) является финансово-мотивированной группой вымогателей, которая сначала похищает конфиденциальные данные из инфраструктуры жертвы, а затем шифрует их и вымогает выкуп за их расшифровку. По информации, полученной экспертами F.A.C.C.T. в ходе исследований, максимальный размер выкупа, требуемый злоумышленниками в 2023 г., составил $3,5 млн.

Группировка Twelve является политически-мотивированной группой, которая в результате своих атак сначала крадет конфиденциальные данные из инфраструктуры жертвы, а после разрушает ее ИТ-инфраструктуру путем необратимого шифрования и удаления данных. Далее злоумышленники публикуют украденную информацию в различных публичных источниках, а также используют ее для проведения каскадных атак на контрагентов жертвы.

После публикации исследования, в котором эксперты компании F.A.C.C.T. сделали выводы том, что Shadow и Twelve — по сути это одна хак-группа с общими инструментами, техниками, а в нескольких атаках — и с общей сетевой инфраструктурой, группировка Shadow провела ребрендинг, взяв название Comet (C0met).

Вместе с тем, среди сообщников группы Comet (ранее Shadow) / Twelve есть участники, которые ранее «засветились» в рядах небезызвестной русскоговорящей преступной группы Cobalt, которую в свое время Европол обвинял в кражах около 1 млрд евро у 100 банков по всему миру.

В своем недавнем отчете Positive Technologies рассказали об инструментах, используемыми группировкой Cobalt, которые не только фиксировались специалистами Лаборатории цифровой криминалистики F.A.C.C.T. в исследованиях, но и по частным признакам позволили связать политически-мотивированную Twelve с финансово-мотивированной Comet (ранее Shadow).

В процессе развития атак Comet (ранее Shadow) / Twelve используют вредоносные программы следующих семейств: DarkGate, FaceFish, SystemBC, Cobint / Cobalt Strike. А на завершающем этапе для шифрования данных используют программы-вымогатели семейств LockBit 3 (Black) и Babuk, созданные на основе утекших в публичный доступ данных.

Наряду с общими инструментами, а также идентичными тактиками, техниками, процедурами группировка и их сообщники при проведении атак используют общую сетевую инфраструктуру. Это не раз отмечали эксперты F.A.C.C.T., подготовившие список адресов, которые использовали злоумышленники в атаках, начиная с февраля 2023 г.

Наряду с указанными выше вредоносными программами неизменной популярностью у атакующих пользуются утилиты Ngrok и Anydesk для сохранения доступа к ИТ-периметру жертв. И этот список не является исчерпывающим, в зависимости от ситуации злоумышленники расширяют свой арсенал новыми инструментами.

***

F.A.С.С.T. — Fight Against Cybercrime Technologies — российский разработчик технологий для борьбы с киберпреступлениями, поставщик решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. F.A.С.С.T. создана для работы на рынках России и СНГ путем выделения в автономную структуру бывшего российского актива международной компании Group-IB. В основе технологического лидерства F.A.С.С.T. — 20-летний практический опыт исследований киберпреступлений по всему миру и более 70 тыс. часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования. Решения компании основаны на знаниях, полученных в ходе реагирований на инциденты и исследований киберпреступности. Они обеспечивают защиту от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Продукты F.A.С.С.T. входят в Реестр Отечественного ПО.