После небольшого перерыва «Группа двенадцати» вновь привлекла внимание экспертов по кибербезопасности. Хакеры известны своими кибератаками на крупные компании и организации в России, в результате которых они требуют крупные суммы денег в обмен на восстановление доступа к зараженным компьютерным системам.

Возобновление кибератак

«Лаборатория Касперского» констатировала возобновление кибератак со стороны «Группы двенадцати». Об этом в середине августа 2024 года. Как в Список безопасности Как пишут специалисты лаборатории, в ходе изучения компьютерной атаки была обнаружена методика, полностью идентичная кибератакам группы Douze, а также связанное с ней использование серверов C2.

Этой весной в Telegram-канал Двенадцать групп начали публиковать публикации, содержащие персональные данные настоящие люди. Вскоре канал заблокировали за нарушение правил. посланник. В течение нескольких месяцев от группы не было дальнейших новостей. Специалисты по информационной безопасности (ИБ) «Лаборатории Касперского» проанализировали действия злоумышленников с помощью методологии Unified Kill Chain.

счастье-eavaems9fqa-unsplash_1.jpg

Возвращение «Двенадцати» и рост кибератак на российскую сеть

Интересен тот факт, что Twelve использует схожие методы и инструменты с другой киберпреступной группировкой Darkstar, что может указывать на принадлежность обеих группировок к одной и той же группировке. союз. В то время как Darkstar придерживается классической системы вымогательства, Twelve явно руководствуется политическими и идеологическими мотивами. Базовый шаблон Двенадцать групп — нет финансовый преимущество, и хактивизм. Это видно по их образу действий: вместо того, чтобы требовать выкуп за расшифровку данных, Twelve предпочитает шифровать информацию жертв, а затем уничтожать ее. инфраструктура используйте вайпер, что делает невозможным восстановление данных. Такой подход указывает на стремление нанести максимальный ущерб целевым организациям без получения прямой материальной выгоды.

ЧИТАТЬ   они начали возвращаться. Компьютерщики возвращаются в Россию. Программа «обратное переселение» больше не нужна / news2.ru

При проведении кибератак хакеры Twelve полагаются только на известные и доступные ИТ-инструменты. Вот список инструментов, часто используемых этой группой: ngrok, Кобальтовый удар, мимикакатножницы, PowerViewadPEAS, CrackMapExec, расширенный IP-сканер, ПсExec. Большинство инструментов, используемых хакерами, доступны с открытым исходным кодом, что делает их доступными даже для наименее опытных пользователей. злоумышленник.

Своевременная защита

Одной из особенностей «Двенадцати атак» является использование методов социальная инженерия получить доступ к внутренней сети компании-жертвы через субподрядчиков. Проще говоря, социальная инженерия предполагает, что мошенники манипулируют людьми, чтобы получить или получить доступ к информации о них. Кибератаки с использованием социальной инженерии бывают разных форм. Поэтому важно иметь общее представление о том, что такое социальная инженерия и как она работает. Научившись распознавать основной механизм действия, вы сможете гораздо легче обнаруживать такие атаки. Получив доступ к инфраструктуре подрядчика, двенадцать хакеров затем используют учетные данные подрядчика для проникновения в основную сеть компании.

Схема нападения на предпринимателей

Двенадцать хакеров зашифровали данные, используя версию популярного вируса-вымогателя Локбит3.0, скомпилированный из общедоступного исходного кода для блокировки данных жертвы. В некоторых случаях используют вайперы — программы, которые полностью уничтожают данные на жестких дисках, делая восстановление невозможным.

двенадцать-06-1.png
Схема использования утилиты Нгрок

Самый большой выкуп в Россиичто было задано пираты — 3 миллиона долларов запросила киберпреступная группировка Twelve. За эту сумму хакеры предложили восстановить зашифрованные данные на компьютерах компании. Злоумышленники использовали стандартный уязвимости телекоммуникационное оборудование.

двенадцать-14.png

Схема действий злоумышленников

Эксперты»Лаборатория Касперского» подчеркнуть важность быстрого обнаружения и предотвращения кибератак компанией Douze, поскольку использование общедоступных инструментов и методов делает их действия предсказуемыми, тем самым обеспечивая возможность успешной кибербезопасной защиты при правильной настройке мер безопасности.

ЧИТАТЬ   Революция в мире реляционных СУБД. SoQoL — новый стандарт архитектуры систем управления данными

В заключение отметим, что киберпреступная «Группа двенадцати» сегодня остается одной из самых опасных и активных угроз, представляя значительную угрозу для организаций, особенно тех, которые задействованы в критической инфраструктуре России. Эксперты по кибербезопасности призывают предприятия принять меры по укреплению своей защиты и подготовиться к возможным кибератакам, которые могут нанести значительный ущерб и поставить под угрозу их деятельность.

Антон Денисенко

Source

От admin