Исследователи FACCT сообщили о «ребрендинге» финансово мотивированной группировки Shadow, которая похищает и шифрует данные российских компаний, а затем требует крупный выкуп (в размере 5-10% от годового дохода компании). Теперь злоумышленники называют себя Comet (C0met).
В начале сентября текущего года специалисты посвятили группировке Shadow, а также ее связи с хактивистами Twelve, развернутый отчет. Тогда отмечалось, что вымогатели из Shadow и хактивисты из Twelve, по сути, являются частью одной хак-группы, с общими инструментами, техниками, а в нескольких атаках — и с общей сетевой инфраструктурой.
Если Shadow действуют как обычные вымогатели (шифруют и воруют данные компаний, а затем требуют выкуп), то Twelve напротив позиционируют себя в качестве хактивистов, которые уничтожают ИТ-инфраструктуру жертвы на финальном этапе атаки. Именно эта группировка весной 2023 года взяла на себя ответственность за взлом федеральной таможенной службы РФ, а в мае — за кибертаку на российского производителя гидравлического оборудования.
Спустя около недели после публикации отчета FACCT, группировка Shadow провела «ребрендинг», то есть сменила название. Теперь российские компании атакует Comet (C0met).
Как и раньше злоумышленники используют в атаках зашифрованную версию программы LockBit 3 (Black), созданную с помощью одной и той же версии утекшего в открытый доступ билдера LockBit 3 (Black). Для Linux-систем атакующие используют вымогателя, созданного на основе исходных кодов Babuk.
Хотя участники группировки заявляют, что атакуют не только Россию, по данным исследователей, жертвы Shadow (C0met) и Twelve находятся только в российских городах, таких как: Москва, Санкт-Петербург, Барнаул, Екатеринбург, Ижевск, Череповец и так далее.
Злоумышленники «оправдываются» сложностью анализа зашифрованной версии LockBit 3, ссылаясь на то, что атрибуцию таких версий LockBit 3 (Black) сложно привязать к конкретной преступной группе.