Второй раз за полгода группа вымогателей Shadow сменила название, выяснили эксперты Лаборатории цифровой криминалистики F.A.C.C.T. В сентябре 2023 года Shadow взяла название Comet, а в январе 2024-го группа атаковала российскую компанию уже под новым именем — DARKSTAR. Всем бы такие маркетинговые бюджеты…
При изучении обстоятельств атаки специалисты Лаборатории увидели уже "до боли" знакомые тактики, техники, процедуры (TTPs) и инструменты. Каждая находка была уже заранее ожидаемой, каждый найденный цифровой отпечаток только убеждал в правоте первоначальных подозрений. "Пирамида боли" Дэвида Бьянко лишний раз подтверждает, что атакующим сложнее всего изменить свой почерк и выработанные привычки.
В атаке для шифрования файлов использовались программы LockBit 3 (Black) и Babuk, а также такие утилиты, как ngrok и AnyDesk.
Для общения с жертвой также создается панель в сети Tor. Титульное изображение на странице входа DARKSTAR было создано только 29 января, также на ней видны некоторые огрехи поспешного дизайна (см. Рис 3).
С момента своего появления Shadow заявляет, что она не является политически мотивированной группой, все, что интересует участников группы, так это только деньги жертв. В записке с требованием выкупа Shadow это было сказано явно, в записке Comet коротко, что причина атаки одна – деньги, а в записке же DarkStar все эти фразы вовсе убраны, потому что всем давно уже очевидно, что это не так.
Напомним, вымогатели из Shadow-Comet-DARKSTAR вместе с группой кибердиверсантов Twelve входят в один крупный преступный синдикат, цель которого нанести максимальный ущерб российским компаниям.
Кстати, урон, нанесенный компании в результате недавней атаки, мог быть гораздо больше, однако, за прошедший год многие компании усилили меры безопасности, благодаря чему важная часть инфраструктуры осталась нетронутой.
P.S. Специалисты компании F.A.C.C.T. продолжают следить за активностью новой группы DARKSTAR. Сообщить об инциденте и провести оперативное реагирование можно, направив запрос в Лабораторию цифровой криминалистики компании F.A.C.C.T.
