Помните популярную в 90-х рекламу чистящего средства с незабвенной Инной Ульяновой? "Да, милочка, с такой-то ванной и на квартиру не клюнут!", — сетует ее героиня и с хорошо узнаваемой интонацией Маргариты Павловны из "Покровских ворот" советует неумехе-хозяйке порошок, который и ванну отчистит, и микробов в унитазе изведет. Столько лет прошло, и тут выяснилось, что Comet, а точнее так — C0met — киберпреступники тоже пытаются использовать для чистки загаженной ванной репутации.
Две в одном
Было две преступные группы — Shadow и Twelve. Первые рубились исключительно "за бабло". Атаковали российские компании, похищали ценную информацию и шифровали данные, требуя солидный выкуп. Вторые — действовали вроде бы как "за идею" — уничтожали ИТ-инфраструктуру жертвы без возможности расшифровки. Именно они весной 2023 года взяли на себя ответственность за взлом федеральной таможенной службы РФ, а в мае — за кибертаку на российского производителя гидравлического оборудования.
Обычно в "дикой природе" идеологические и чисто шкурные интересы киберпреступников редко пересекаются. Одни воруют деньги, другие — сражаются за идею. Исключения имелись, типа северокорейских Lazarus, но это было скорее исключением из правил. После февраля 2022 года многое изменилось, в том числе мотивация.
В нашей недавней публикации эксперты компании F.A.C.C.T. сделали выводы том, что Shadow и Twelve — по сути это одна хак-группа с общими инструментами, техниками, а в нескольких атаках — и с общей сетевой инфраструктурой. Однако, у одних компаний они вымогают деньги, а — у других (чаще, госведомств или дочек госкомпаний) уничтожают инфраструктуру, не требуя выкупа.
В августе 2023 года эксперты F.A.C.C.T. совместно ИТ-специалистами крупной российской компании успешно отбили атаку Shadow / Twelve. Однако, поскольку злоумышленники не сумели довести свои планы до конца, мы так и не узнали, с какой целью они атаковали — ради заработка или для проведения диверсии.
C0met тонким слоем
И вот спустя чуть более недели после нашей статьи группировка Shadow провела ребрендинг, видимо, чтобы избежать пристального внимания к свей персоне. Теперь бюджеты российских компаний киберпреступники "чистят" под названием Comet (C0met).
Вымогатели, как и прежде, используют в атаках зашифрованную версию программы LockBit 3 (Black), созданную с помощью одной и той же версии утекшего в публичный доступ билдера LockBit 3 (Black). Для Linux-систем атакующие используют программу-вымогатель, созданную на основе исходных кодов Babuk.
Жертвы Shadow и Twelve, а теперь и Comet находятся исключительно в российских городах, таких как: Москва, Санкт-Петербург, Барнаул, Екатеринбург, Ижевск, Череповец и другие.
Еще интересный момент. Злодеи не только похищают и шифруют данные компаний, но еще и крадут сессии Telegram-клиентов, установленных на рабочих компьютерах. После атаки злоумышленники создают посвященную инциденту группу в Telegram, в которую цинично добавляют ИТ-специалистов и руководство атакованной компании-жертвы, чтобы понимать, что происходит внутри компании. Так что не попадитесь!
Напоминаем, что сообщить об инциденте и провести реальное оперативное реагирование можно, направив запрос в Лабораторию цифровой криминалистики компании F.A.C.C.T.