Вымогатели Shadow и вредители Twelve атакуют российские компании вместе

Екатерина Быстрова 31 Августа 2023 - 15:28

Программы-шифровальщики

Целевые атаки

Таргетированные атаки

...

Вымогатели Shadow и вредители Twelve атакуют российские компании вместе

Киберпреступная группа Shadow и хактивисты из команды Twelve не только связаны, но и являются частью одного объединения. Как выяснили специалисты F.A.C.C.T., обе группировки атакуют российские компании, используя общую сетевую инфраструктуру.

Кроме того, Shadow и Twelve задействуют похожие техники и инструменты, даже подход к кибератакам у них практически идентичен. При этом цели у групп разные.

Например, Shadow ставит задачу — получить деньги за расшифровку данных, то есть классический подход вымогателей (как правило, сумма в пределах 140-190 миллионов рублей). А вот с целями Twelve дела обстоят интереснее: участники группы пытаются уничтожить ИТ-инфраструктуру жертвы, а деньги их не интересуют.

Атаки Shadow попались специалистам F.A.C.C.T. в феврале-марте этого года. Злоумышленники нападали на организации промышленной, логистической и энергетической сфер. Проникая в системы жертвы, операторы Shadow шифруют важные файлы, после чего требуют выкуп.

Исследователи отмечают профессиональный подход «теневых» киберпреступников к своим кампаниям. Например, они сначала постепенно захватывают инфраструктуру целевой организации, после чего похищают внутренние данные, а уже затем шифруют жертву.

Если компьютеры компании работают на Windows, используется вредонос LockBit, если установлен Linux — шифровальщик, основанный на Babuk. Жертва может общаться с вымогателями либо через панель с чатом в сети Tor, либо в телеграм-канале.

В начале года параллельно с Shadow за российские компании взялась группировка Twelve. Вот только ей совершенно не нужны деньги, так как задача — полностью уничтожить ИТ-инфраструктуры жертвы. Например, именно эти персонажи атаковали федеральную таможенную службу России.

Кстати, LockBit также фигурировал в атаках Twelve, но при этом вредонос не оставлял контактных данных для связи.

Как удалось связать две кибергруппы? Специалисты F.A.C.C.T. нашли изъяны и цифровые следы в действиях атакующих. Злоумышленники допустили маленькую, но очень характерную ошибку: забыли переключить украинскую раскладку клавиатуры при наборе команды PowerShell в консоли.

Такие недочёты, а также ошибки при шифровании выдали связь между двумя группировками.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 12 Февраля 2026 - 13:17

Security Vision КИИ Соответствие законодательству РФ Корпорации Защита критически важных объектов Соответствие требованиям регуляторов Security Vision

Security Vision КИИ получил новые функции по требованиям ФСТЭК России

Security Vision сообщила о выходе обновлённой версии продукта Security Vision КИИ. Решение предназначено для автоматизации процессов, связанных с выполнением требований законодательства по защите критической информационной инфраструктуры.

Одно из ключевых изменений касается процесса категорирования объектов КИИ.

В систему добавлены типовые отраслевые перечни объектов, а также обновлены критерии значимости с учётом изменений в постановлении Правительства РФ № 127 (в редакции от 7 ноября 2025 года). Приведена в актуальный вид и форма сведений о результатах категорирования.

Отдельное внимание уделено расчёту экономической значимости. Теперь он автоматизирован в соответствии с рекомендациями ФСТЭК России. В расчёт включаются такие показатели, как ущерб субъекту КИИ, ущерб бюджету РФ и возможное прекращение финансовых операций.

Система не только определяет значение критерия для присвоения категории значимости, но и формирует экономические показатели, которые автоматически попадают в раздел обоснования.

Также реализована автоматическая оценка состояния технической защиты — на основе методики ФСТЭК от 11 ноября 2025 года. Продукт рассчитывает показатели по отдельным группам и определяет итоговый уровень защищённости объекта.

Расширен функционал моделирования угроз. Помимо прежнего подхода, теперь доступна оценка по общему перечню угроз из банка данных ФСТЭК с применением актуальной методики оценки угроз безопасности информации. В процессе моделирования система автоматически выстраивает возможные сценарии реализации угроз — с учётом тактик и техник — и определяет способы их реализации. Пользователь может выбрать подходящую методику моделирования.

В части отчётности добавлены отчёты по угрозам, нейтрализованным мерами защиты, а также перечень угроз, признанных неактуальными, с указанием причин. Для моделирования по общему перечню предусмотрен отдельный дашборд.

Обновлённая версия ориентирована на упрощение процедур категорирования, расчётов и подготовки отчётности для организаций, подпадающих под требования законодательства о КИИ.