Эксперты F.A.C.C.T. раскрыли сетевую инфраструктуру преступного синдиката Comet (Shadow)/Twelve
Специалисты Лаборатории цифровой криминалистики компании F.A.C.C.T. фиксируют новые атаки преступного синдиката Comet (ранее Shadow) / Twelve и их сообщников на российские компании. Эксперты полагают, что имеют дело с группой "двойного назначения" и для эффективного противодействия киберпреступникам публикуют списки инструментов и адресов, который злоумышленники использовали в своих атаках, начиная с начала 2023 года.
Comet (ранее Shadow) является финансово-мотивированной группой вымогателей, которая сначала похищает конфиденциальные данные из инфраструктуры жертвы, а затем шифрует их и вымогает выкуп за их расшифровку. По информации, полученной экспертами F.A.C.C.T. в ходе исследований, максимальный размер выкупа, требуемый злоумышленниками в 2023 году, составил $3,5 млн.
Группировка Twelve является политически-мотивированной группой, которая в результате своих атак сначала крадет конфиденциальные данные из инфраструктуры жертвы, а после разрушает ее IT-инфраструктуру путем необратимого шифрования и удаления данных. Далее злоумышленники публикуют украденную информацию в различных публичных источниках, а также используют ее для проведения каскадных атак на контрагентов жертвы.
После публикации исследования, в котором эксперты компании F.A.C.C.T. сделали выводы том, что Shadow и Twelve — по сути это одна хак-группа с общими инструментами, техниками, а в нескольких атаках — и с общей сетевой инфраструктурой, группировка Shadow провела ребрендинг, взяв название Comet (C0met).
Вместе с тем, среди сообщников группы Comet (ранее Shadow) / Twelve есть участники, которые ранее «засветились» в рядах небезызвестной русскоговорящей преступной группы Cobalt, которую в свое время Европол обвинял в кражах около 1 млрд евро у 100 банков по всему миру.
В своем недавнем отчете Positive Technologies рассказали об инструментах, используемыми группировкой Cobalt, которые не только фиксировались специалистами Лаборатории цифровой криминалистики F.A.C.C.T. в исследованиях, но и по частным признакам позволили связать политически-мотивированную Twelve с финансово-мотивированной Comet (ранее Shadow).
Инструменты и сетевая инфраструктура
В процессе развития атак Comet (ранее Shadow) / Twelve используют вредоносные программы следующих семейств:
- DarkGate
- FaceFish
- SystemBC
- Cobint / Cobalt Strike
А на завершающем этапе для шифрования данных используют программы-вымогатели семейств LockBit 3 (Black) и Babuk, созданные на основе утекших в публичный доступ данных.
Наряду с общими инструментами, а также идентичными тактиками, техниками, процедурами группировка и их сообщники при проведении атак используют общую сетевую инфраструктуру. Это не раз отмечали эксперты F.A.C.C.T., подготовившие список адресов, которые использовали злоумышленники в атаках, начиная с февраля 2023 года.
Наряду с указанными выше вредоносными программами неизменной популярностью у атакующих пользуются утилиты Ngrok и Anydesk для сохранения доступа к IT-периметру жертв. И этот список не является исчерпывающим, в зависимости от ситуации злоумышленники расширяют свой арсенал новыми инструментами.
Важно: в тех случаях, если вы фиксируете какую-либо активность с ресурсами преступного синдиката или нелегитимную активность с инфраструктурой программ NGROK (*.ngrok[.]io, .ngrok[.]com) и Anydesk (.net.anydesk[.]com) эксперты F.A.C.C.T. рекомендуют обратиться к команде по реагированию на инциденты — Лаборатории цифровой криминалистики и исследования вредоносного кода F.A.C.C.T., которая поможет провести реагирование на инцидент и минимизировать возможные риски.
похожие материалы
Эксперт Станислав Ежов из «Группы Астра» рассказал, как решить проблему ошибок ИИ
Искусственный интеллект пока не приносит ожидаемого роста производительности труда.
Новый сложный Linux-вредонос VoidLink нацелен на облачные среды и контейнеры
Исследователи по кибербезопасности из Check Point Research обнаружили ранее неизвестный и высокотехнологичный вредоносный фреймворк для Linux под названием VoidLink, ориентированный на облачные и контейнерные среды.
Хакеры взломали Европейское космическое агентство и выставили на продажу сотни гигабайт данных
Европейское космическое агентство сообщило о крупном инциденте, в ходе которого злоумышленники получили доступ к части его внешних серверов и похитили большие массивы данных.
Мошенники устроили «распродажу» невостребованных новогодних подарков в мессенджерах
Киберполиция Санкт-Петербурга предупредила о новой волне мошенничества, в рамках которой злоумышленники предлагают пользователям купить электронику и бытовую технику по бросовым ценам под предлогом распродажи «зависших» новогодних подарков.
Уязвимость WhisperPair ставит под угрозу миллионы Bluetooth-устройств по всему миру
Исследователи из группы Computer Security and Industrial Cryptography при Католическом университете Лёвена выявили критическую уязвимость в протоколе Google Fast Pair, получившую обозначение CVE-2025-36911 и прозванную WhisperPair.
Microsoft и правоохранители вывели из строя крупный сервис киберпреступников RedVDS
Microsoft объявила о совместной с международными правоохранительными органами операции по нейтрализации глобального сервиса RedVDS, который предоставлял киберпреступникам доступ к виртуальным рабочим столам за подписку и использовался для реализации масштабных мошеннических схем.
Logitech признала проблему с сертификатами на macOS, мешающую запуску G-Hub
Пользователи оборудования Logitech на macOS столкнулись с проблемой, из-за которой фирменное программное обеспечение G-Hub не запускается или работает некорректно.
Исследователи предупреждают о новой волне атак, связанных с цифровым обслуживанием управляющих компаний
Специалисты по кибербезопасности из сервиса Angara MTDR зафиксировали активизацию атак, связанных с изменениями в жилищном законодательстве.
Телекоммуникации стали главной целью кибератак в России
Центр мониторинга и реагирования на кибератаки RED Security SOC зафиксировал резкий сдвиг в приоритетах киберпреступников.
В Max опровергли информацию о взломе мессенджера
В пресс-службе национального мессенджера Max заявили, что информация о якобы взломанной платформе и утечке данных более 15 млн пользователей является недостоверной.