Крупные российские компании начала атаковать новая группа вымогателей

Эксперты Group-IB зафиксировали атаки новой группы вымогателей Shadow на крупные российские компании. Группа активна, как минимум, с середины марта 2023 года, сообщили RSpectr в пресс-службе компании.

За расшифровку данных злоумышленники требуют от жертвы сумму от $1-2 млн. Для общения с каждой жертвой злоумышленники размещают в сети Tor панель с чатом, доступ в которую представитель атакованной компании получает при помощи персонального ключа из записки с требованием выкупа.

Если компания откажется платить выкуп, Shadow угрожают опубликовать данные в даркнете (пример на скриншоте). Эксперты отметили, что ранее вымогатели практически не использовали в России подобный инструмент шантажа, ограничиваясь угрозами не предоставить ключ для расшифровки данных.

Публикация скаченных данных жертв на DLS-сайтах характерна для атак вымогателей на компании из США, Европы, Азии. В качестве гарантий того, что преступники исполнят свои обещания, представители Shadow уверяют, что они не являются «политически мотивированными и их не интересует что-то еще, кроме денег», рассказали в Group-IB.

Как выяснили эксперты, злоумышленники проникают в инфраструктуру жертв через уязвимые публичные сервисы, в т.ч. RDP-серверы. Данные компаний Shadow шифруют с помощью версии популярной программы-вымогателя LockBit3, собранного на основе появившегося в публичном пространстве исходного кода.

Для Linux используется шифровальщик на основе исходных кодов вымогателя Babuk. В ходе расследования инцидента специалистами Group-IB выявлен факт ошибочного набора атакующими команды PowerShell на украинской раскладке клавиатуры. Кроме того, выявлены инструменты, аналогичные использованным в атаках неизвестной группировкой на российские банки в 2018 году.