В атаках на российские компании замечены клоны LockBit, Conti и Babuk

Татьяна Никитина 06 Сентября 2023 - 19:49

Малый и средний бизнес

Корпорации

BI.ZONE

Программы-вымогатели

Программы-шифровальщики

Целевые атаки

Таргетированные атаки

...

В атаках на российские компании замечены клоны LockBit, Conti и Babuk

В атаках Battle Wolf, Twelfth Wolf и Shadow Wolf на территории России используются шифровальщики на основе слитых в Сеть кодов Babuk, Conti и LockBit. Эксперты BI.ZONE насчитали более 40 таких инцидентов.

За последние полтора года в мире организованной преступности произошло много изменений. Внутри таких групп возникает разлад, участились взломы инфраструктуры конкурентов, кражи и утечки данных, в том числе исходников и билдеров вредоносных программ.

Открытый доступ к инструментам атаки породил множество вариаций; не избежали этой участи и печально известные Conti, Babuk и LockBit. По данным киберразведки BI.ZONE, сейчас кодами этих шифровальщиков активно пользуются три преступные группы.

«Сегодня опубликованные в Сети исходные коды вредоносных программ пользуются большой популярностью среди злоумышленников, — отметил руководитель управления киберразведки BI.ZONE Олег Скулкин. — Открытый доступ к подобным инструментам снижает порог вхождения в киберпреступность, делая атаки гораздо дешевле и проще с точки зрения организации».

Ему вторит Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»:

«Сегодня необязательно обладать экспертными знаниями в кибербезопасности, чтобы доставить проблемы какой-то компании. Бесплатные инструменты после минимальной доработки могут быть использованы для атак на крупные предприятия, что и происходит в последнее время. Хорошая новость в том, что и противодействовать таким злоумышленникам куда проще, чем реальным экспертам на службе у других государств и корпораций».

Группировка Battle Wolf, по данным BI.ZONE, объявилась в рунете в конце февраля 2022 года и за истекший период успешно атаковала не менее 15 крупных организаций.

Более молодая Twelfth Wolf за последние полгода провела как минимум четыре успешных атаки, в том числе на один из крупнейших органов исполнительной власти РФ. В последнем случае инцидент повлек утечку конфиденциальной информации.

Участники Shadow Wolf заявили о себе в марте этого года несколькими успешными атаками. Их общение с жертвами обычно происходит в дарквебе, иногда — в специально созданном чате Telegram.

Следующая главная новость »

Подписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »

Екатерина Быстрова 08 Января 2026 - 18:51

Linux Уязвимости программ Домашние пользователи Корпорации

Критическая уязвимость в TLP позволяет обойти защиту Linux

В популярной утилите TLP, которую многие владельцы ноутбуков на Linux используют для управления энергопотреблением, обнаружили критическую уязвимость. Причём проблема нашлась во время обычной проверки пакета командой SUSE Security Team и располагается во вполне штатном коде.

Брешь получила идентификатор CVE-2025-67859 и затрагивает версию TLP 1.9.0, где появился новый profiles daemon.

Этот демон работает с root-правами и управляет профилями питания через D-Bus. Задумка хорошая, но реализация подвела: в механизме аутентификации Polkit нашлась логическая ошибка, которая фактически позволяет обойти проверку прав.

Как объясняют исследователи, демон должен был строго проверять, кто именно отправляет команды. Но из-за ошибки любой локальный пользователь мог взаимодействовать с ним без должной аутентификации — а значит, менять системные настройки питания от имени root.

На этом сюрпризы не закончились. В ходе анализа специалисты SUSE нашли ещё несколько проблем, уже связанных с исчерпанием ресурсов. В частности, механизм profile hold, который позволяет временно «зафиксировать» профиль питания, оказался совершенно без валидации. Локальный пользователь мог создавать неограниченное количество таких блокировок, причём без прав администратора.

В итоге это открывает прямую дорогу к DoS-атаке: демон начинает захлёбываться от бесконечных записей в структуре данных, куда попадают числа, строки с причиной и идентификаторы приложений — всё это полностью контролируется клиентом.

Любопытно, что SUSE вспомнила похожую историю с демоном управления питанием в GNOME: аналогичную проблему находили ещё несколько лет назад. Отдельно исследователи отметили вопросы к механизму «куки», которыми отслеживаются profile hold. Формально речь шла о предсказуемости значений, но в сочетании с отсутствием лимитов это лишь расширяло поверхность атаки.

К счастью, реакция была быстрой. SUSE сообщила об уязвимостях разработчикам ещё в декабре, и в версии TLP 1.9.1 проблема уже закрыта. В частности, число одновременных profile hold теперь жёстко ограничено числом 16, что убирает риск истощения ресурсов.

В атаках на российские компании замечены клоны LockBit, Conti и Babuk

Читайте также