Крупная российская компания пала жертвой хакеров-вымогателей
Специалисты компании F.A.C.C.T. сообщили о проведении масштабной атаки на IT-инфраструктуру крупной российской компании. Хакеры с использованием программ-вымогателей зашифровали часть данных и направили жертве записку с требованием выкупа. В нём злоумышленники представились ранее неизвестной группировкой DARKSTAR.
После изучения текста записки и детального расследования инцидента криминалисты F.A.C.C.T. пришли к выводу, что за атакой стоит вполне знакомая группировка Shadow, которая уже год атакует российские компании и, как настоящий авторитет в мире киберпреступников, регулярно меняет названия. Каждый шаг расследования оставлял у экспертов всё меньше сомнений.
Хакерам не удалось изменить свой почерк, их выдали и тактика, и процедуры, и инструменты. Для шифрования IT-инфраструктуры злоумышленники использовали программы-вымогатели LockBit 3 и Babuk, а также свои уникальные инструменты.
Отмечается, что важная часть IT-инфраструктуры компании осталась нетронутой, так как с методами группировки Shadow российские организации знакомы и готовы им противостоять. Однако, часть данных хакеры уже выставили на продажу на нескольких ресурсах.
Специалисты F.A.C.C.T. также поделились своим мнением, касательно мотивации хакеров. Злоумышленники заявляют, что их целью являются деньги, но эксперты уверены, что в выборе жертв есть место политическому мотиву. Более того, есть подозрение в связях между Shadow и Twelve – группировкой, которая устраивает кибердеверсии на российских предприятиях.