Словили звезду: вымогатели из группы Shadow атакуют российские компании уже под новым именем — DARKSTAR

Несколько дней назад крупная российская компания была атакована с использованием программ-вымогателей, часть ее ИТ-инфраструктуры оказалась зашифрованной. Текст записки с требованием выкупа за расшифровку данных сразу вызвал у специалистов Лаборатории криминалистики компании F.A.C.C.T., подозрение, что они имеют дело с хорошо знакомыми "заклятыми друзьями", несмотря на то, что в записке было указано название новой неизвестной группы – DARKSTAR.

При изучении обстоятельств атаки специалисты Лаборатории увидели уже "до боли" знакомые тактики, техники, процедуры (TTPs) и инструменты. Каждая находка была уже заранее ожидаемой, каждый найденный цифровой отпечаток только убеждал в правоте первоначальных подозрений. "Пирамида боли" Дэвида Бьянко лишний раз подтверждает, что сложнее всего изменить свой почерк и выработанные привычки.

Без сомнения, компанию атаковала группа Shadow, которая почти уже год осуществляет атаки на крупные российские компании. Группа, как криминальный авторитет, меняет свои клички, сначала они были Shadow, потом Comet, а сейчас уже DARKSTAR. Справедливо указывать эти названия лишь в привязке к первоначальному основному названию группы Shadow.

Ущерб, нанесенный компании в результате атаки, мог быть гораздо больше, однако, за прошедший год многие компании усилили меры безопасности, благодаря чему важная часть инфраструктуры осталась нетронутой.

В атаке для шифрования файлов использовались все те же программы-вымогатели LockBit 3 (Black) и Babuk, а также такие утилиты, как ngrok и AnyDesk, и некоторые свои уникальные инструменты.

Для общения с жертвой также создается панель в сети Tor. Титульное изображение на странице входа DARKSTAR было создано только 29 января, также на ней видны некоторые огрехи поспешного