Словили звезду: вымогатели из группы Shadow атакуют российские компании уже под новым именем — DARKSTAR
Специалисты Лаборатории цифровой криминалистики компании F.A.C.C.T. зафиксировали новые атаки группы вымогателей Shadow (Comet), но уже под новым именем — DARKSTAR. В конце января жертвой стала крупная российская компания. Ущерб, нанесенный фирме в результате атаки, мог быть гораздо больше, однако, за прошедший год многие компании усилили меры безопасности, благодаря чему важная часть инфраструктуры осталась нетронутой.
Рис. 1 Текст записки с требованием выкупа от вымогателей DARKSTAR
Несмотря на смену названия, все тактики, техники, процедуры (TTPs) и инструменты у вымогателей остались те же: для шифрования файлов использовались программы LockBit 3 (Black) и Babuk, а также такие утилиты, как ngrok и AnyDesk. Для общения с жертвой также создается "брендированная" панель в сети Tor. Титульное изображение логотипа на странице входа DARKSTAR было создано только 29 января.
Рис. 2 Скриншот страницы входа в панель DARKSTAR для общения с жертвой в сети Tor
Напомним, что это уже второе переименование группы вымогателей за полгода. В сентябре 2023 года Shadow взяла название Comet, а в январе 2024-го группа атаковала российскую компанию уже под новым именем — DARKSTAR. С момента своего появления весной 2023 года участники Shadow заявляли, что их интересуют исключительно деньги и они не являются политически мотивированной группой. Однако, если в записке с требованием выкупа от Shadow это было сказано явно, в записке Comet уже коротко, а в записке от DarkStar эти фразы отсутствуют.
Напомним, что вымогатели из Shadow-Comet-DARKSTAR вместе с группой кибердиверсантов Twelve входят в один крупный преступный синдикат, цель которого нанести максимальный ущерб российским компаниям.
Именно этот синдикат Comet (Shadow) — Twelve стал “открытием 2023 года”, поскольку продемонстрировал новую тенденцию — появление групп “двойного назначения”, которые преследуют как финансовые, так и политические цели.
Если одна часть преступного синдиката вымогателей под именем Comet (Shadow) в ходе атаки похищает конфиденциальные данные, а затем шифрует компанию, требуя выкуп, то Twelve, также предварительно похитив данные, уничтожают ИТ-инфраструктуру организации-жертвы, не выставляя никаких финансовых требований.
Кстати, именно Shadow Comet поставила рекорд прошлого года по сумме самого крупного первоначального выкупа — у жертвы они потребовали 321 млн рублей (около $3.5 млн). У группы до сих пор нет своего DLS-сайта для публикации похищенных у жертв данных, зато, как выяснилось, они охотно публикуют объявления об их продаже на антироссийских ресурсах.
Теги:
похожие материалы
Дьявольская мышь за $44: как взломать компьютер за несколько секунд
Исследователи продемонстрировали устройство EvilMouse - внешне обычную USB-мышь, которая при подключении к компьютеру автоматически выполняет вредоносные команды и может открыть злоумышленнику доступ к системе с повышенными правами.
Фальшивые AI-ассистенты в Chrome заразили 260 тыс. браузеров через скрытые iframes
Исследователи из платформы безопасности LayerX обнаружили крупномасштабную кампанию вредоносных расширений для Google Chrome, замаскированных под «помощников на базе искусственного интеллекта».
OpenAI vs DeepSeek: американский гигант обвинил китайцев в копировании ИИ через «дистилляцию» моделей
Компания OpenAI направила служебную записку в Специальный комитет Палаты представителей США по стратегической конкуренции с Китаем, в которой обвинила китайский стартап DeepSeek в использовании «методов дистилляции» для обучения собственных моделей на основе выходных данных американских ИИ-систем.
Хактивисты Head Mare используют новый вредонос PhantomHeart и активнее автоматизируют кибератаки
В конце 2025 года аналитики Cyber Threat Intelligence из «Лаборатории Касперского» обнаружили новую волну целевых кибератак хактивистов Head Mare — на российские государственные структуры, строительные и промышленные предприятия.
Фейковые сайты «Европола» и «Интерпола» атакуют россиян
Компания CICADA8 сообщила о резком росте числа фишинговых ресурсов, которые выдают себя за официальные сайты Европола и Интерпола.
Пенсионеры бьют тревогу: мошенники переключились на стационарные телефоны
Злоумышленники начали активно использовать стационарные телефоны для обмана россиян.
«Белые воротнички» под ударом: директор по ИИ Microsoft прогнозирует автоматизацию большинства рабочих задач
В течение 1-1,5 года большинство рабочих задач «белых воротничков» будут полностью автоматизированы с помощью искусственного интеллекта, заявил генеральный директор Microsoft по ИИ Мустафа Сулейман.
«Газинформсервис» выступит партнёром Уральского форума «Кибербезопасность в финансах»
18–20 февраля в Екатеринбурге пройдёт Уральский форум «Кибербезопасность в финансах», компания «Газинформсервис» — партнёр мероприятия — представит свои решения в сфере ИБ и ИТ, а также поучаствует в одной из сессий.
Есть куда расти: эксперты оценили уровень зрелости ИБ российских компаний
Эксперты бизнес-направления AKTIV CONSULTING Компании «Актив» представили первый аналитический отчет «Оценка уровня зрелости информационной безопасности».
Microsoft представила детектор LLM-бэкдоров и назвала три признака заражения открытых моделей
Microsoft объявила о создании нового инструмента для выявления скрытых бэкдоров в крупных языковых моделях с открытыми весами, которые используются в корпоративной среде.