Hitech logo

Кейсы

BI.ZONE: злоумышленники атакуют компании с помощью утекших исходных кодов программ-вымогателей

TODO:
Иван Солдатов6 сентября 2023 г., 11:59

Преступные группы Battle Wolf, Twelfth Wolf и Shadow Wolf используют для атак на российские организации утекшие в сеть популярные программы-вымогатели Babuk, Conti и LockBit. По данным киберразведки BI.ZONE, число атак превышает 40.

Самые интересные технологические и научные новости выходят в нашем телеграм-канале Хайтек+. Подпишитесь, чтобы быть в курсе.

С начала 2022 года внутри многих преступных групп произошел разлад. Вместе с этим под влиянием геополитических событий повысилось внимание к злоумышленникам со стороны правоохранительных органов и исследователей. Участились взломы используемых преступниками инфраструктур, группировки публикуют в сети данные своих конкурентов, информацию о применяемых методах и инструменты для проведения атак, например билдеры, позволяющие создавать вредоносное ПО.

Так в открытом доступе появились исходные коды вымогателей Babuk, Conti и LockBit. По данным киберразведки BI.ZONE, ими сегодня активно пользуются сразу три преступные группы: Battle Wolf, Twelfth Wolf и Shadow Wolf.

Battle Wolf появилась в конце февраля 2022 года на фоне геополитических событий. По данным, публикуемым группой в X (ранее Twitter), за это время она успешно атаковала как минимум 15 крупных организаций на территории России: научные, производственные, государственные, финансовые и другие.

Twelfth Wolf появилась в апреле 2023 года, реализовав как минимум четыре успешные атаки. В своем телеграм-канале группа сообщала об атаке на один из крупнейших федеральных органов исполнительной власти РФ, которая, по их словам, привела к утечке конфиденциальной информации.

Shadow Wolf заявила о себе в марте 2023 года несколькими успешными атаками на российские инженерные, страховые, транспортные и медиакомпании. В отличие от Battle Wolf и Twelfth Wolf, группа руководствуется исключительно финансовыми мотивами. Коммуникация между представителем Shadow Wolf и жертвой обычно проходит на странице в дарквебе, адрес которой помещен в записку с требованием выкупа за расшифровку и удаление выгруженных данных. В некоторых случаях атакующие создают чат в Telegram, куда добавляют весь IT-персонал пострадавшей организации.

«Сегодня опубликованные в сети исходные коды вредоносных программ пользуются большой популярностью среди злоумышленников. Открытый доступ к подобным инструментам снижает порог вхождения в киберпреступность, делая атаки гораздо дешевле и проще с точки зрения организации. Даже те страны и отрасли, которые ранее не попадали под атаки оригинальных преступных групп, теперь оказываются под прицелом», — отметил Олег Скулкин, руководитель управления киберразведки BI.ZONE.

Узнавать о новых группах атакующих, актуальных техниках и тактиках киберпреступников помогут решения киберразведки. Для эффективного выявления новых угроз эксперты BI.ZONE советуют применять решения класса EDR (обнаружение и реагирование на конечных точках).