Shadow: новая группа вымогателей нападает на крупный российский бизнес

Shadow: новая группа вымогателей нападает на крупный российский бизнес

Shadow: новая группа вымогателей нападает на крупный российский бизнес

Кибервымогатели неизвестной до этого группировки Shadow шантажируют крупные российские компании. Данные шифруются с помощью версии программы-вымогателя LockBit3. След обнаружили по ошибке в наборе команды PowerShell.

О группе Shadow и суммах в $1-2 млн выкупа «Ъ» рассказали в Group-IB. Преступники проникают в инфраструктуру жертвы через уязвимые публичные сервисы. Далее они шифруют данные с помощью версии программы-вымогателя LockBit3, собранной на основе появившегося в публичном пространстве исходного кода.

Если компания отказывается платить выкуп, Shadow угрожает «слить» данные в даркнет.

«В ходе расследования инцидента специалистами Group-IB выявлен факт ошибочного набора атакующими команды PowerShell на украинской раскладке клавиатуры, – уточнили эксперты. – Кроме того, выявлены инструменты, аналогичные использованным в атаках неизвестной группировкой на российские банки в 2018 году».

Сами представители Shadow утверждают, что не имеют политических мотивов, основная их цель – деньги.

Добавим, скорость совершения кибератак за последний год сильно выросла. Если раньше киберпреступники тратили на проникновение в инфраструктуру месяцы, сейчас на это нужно меньше недели.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В 2025 году 70% кибератак на науку и образование в России связаны с выкупом

Если ещё в 2024 году большинство атак на российскую науку и образование имело шпионские цели (62 % случаев), то в 2025 году картина изменилась. Теперь на первый план вышла финансовая мотивация: с начала года 70 % атак совершают преступники, которые требуют выкуп за расшифровку данных или продают украденную информацию на теневых площадках.

Доля шпионажа сократилась почти втрое — до 24 %. По словам Олега Скулкина, руководителя направления Threat Intelligence в BI.ZONE, возврат к финансовой мотивации — это скорее «норма» для киберпреступности.

Переключение шпионских группировок на промышленные и инженерные предприятия, по его мнению, связано с тем, что сейчас для них более интересны прикладные разработки, чем фундаментальные исследования. При этом сфера НИОКР (научные институты и инженерные комплексы) традиционно остаётся в числе приоритетных целей.

Отдельная категория атакующих — хактивисты, действующие по идеологическим мотивам. Их доля остаётся на уровне 6–8 %. Если в 2024 году они в основном атаковали университеты (например, выводили из строя ИТ-инфраструктуру или размещали политические лозунги на сайтах), то в 2025 году всё чаще их целями становятся школы.

Здесь акцент сместился на похищение персональных данных учеников, которые публикуются в открытом доступе ради огласки, а не ради выгоды.

Исследователи также отмечают, что мотивация хактивистских групп постепенно становится смешанной: идеология часто сочетается с финансовым интересом, и злоумышленники всё чаще требуют выкуп за украденные или зашифрованные данные.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru