Эксперты Group-IB предупреждают, что вымогательская группировка Shadow активна, как минимум, с середины марта 2023 года. За расшифровку данных злоумышленники требуют от жертв суммы в размере 1-2 млн долларов США.
Специалисты говорят, что злоумышленники проникают в инфраструктуру жертв через уязвимые публичные сервисы, в том числе RDP-серверы, шифруют данные компании с помощью вымогателя LockBit3, собранного на основе появившегося в публичном доступе исходного кода. Для операционной системы Linux используется шифровальщик на основе исходных кодов вымогателя Babuk.
«В ходе расследования инцидента специалистами Group-IB выявлен факт ошибочного набора атакующими команды PowerShell на украинской раскладке клавиатуры. Кроме того, выявлены инструменты, аналогичные использованным в атаках неизвестной группировкой на российские банки в 2018 году», — рассказываю эксперты.
Для общения с каждой жертвой злоумышленники размещают в сети Tor панель с чатом, доступ в которую представитель атакованной компании получает при помощи персонального ключа из записки с требованием выкупа. Такая же система взаимодействия с жертвами используется в известных партнерских программах RaaS (Ransomware-as-a-Service, «Вымогательство как услуга»).
Если компания-жертва отказывается платить выкуп, представители Shadow угрожают опубликовать украденные у компании данные в даркнете. При этом сами представители группировки уверяют, что они не являются политически мотивированными хакерами, утверждая, что их интересуют только деньги.
«Отметим, что ранее вымогатели практически не использовали в России подобный инструмент шантажа, ограничиваясь угрозами не предоставить ключ для расшифровки данных. Публикация скаченных данных жертв на DLS-сайтах характерна для атак вымогателей на компании из США, Европы, Азии», — пояснили в Group-IB.
