Компания зафиксировала новые атаки группировки и их сообщников на компании РФ.
Компания F.A.C.C.T. обнаружила новые кибератаки преступного синдиката Comet (известного также как Shadow / Twelve) и их соучастников, направленные против российских компаний. Эксперты полагают, что имеют дело с группой «двойного назначения» и для эффективного противодействия киберпреступникам публикуют списки инструментов и адресов, который злоумышленники использовали в своих атаках, начиная с начала 2023 года.
Comet, ранее известная как Shadow, - это вымогательская группа, которая сначала крадет конфиденциальные данные, а затем шифрует их и требует выкуп за расшифровку. В 2023 году максимальный запрошенный выкуп составил $3,5 млн.
Группировка Twelve является политически-мотивированной группой, которая в результате своих атак сначала крадет конфиденциальные данные из инфраструктуры жертвы, а после разрушает ее IT-инфраструктуру путем необратимого шифрования и удаления данных. Далее злоумышленники публикуют украденную информацию в различных публичных источниках, а также используют ее для проведения каскадных атак на контрагентов жертвы.
После публикации отчета F.A.C.C.T., в котором было Для просмотра ссылки Войдиили Зарегистрируйся , что Shadow и Twelve используют одни и те же инструменты и инфраструктуру, Shadow провела ребрендинг и стала Comet.
Вместе с тем, среди соучастников Comet / Twelve выявлены участники группы Cobalt, которую в свое время Европол обвинял в кражах около 1 млрд евро у 100 банков по всему миру. Отчет Positive Technologies Для просмотра ссылки Войдиили Зарегистрируйся инструменты, которые не только фиксировались специалистами Лаборатории цифровой криминалистики F.A.C.C.T. в исследованиях, но и по частным признакам позволили связать политически-мотивированную Twelve с финансово-мотивированной Comet (ранее Shadow).
В атаках Comet / Twelve используются вредоносные программы, включая DarkGate, FaceFish, SystemBC, Cobint / Cobalt Strike. А на завершающем этапе для шифрования данных используют программы-вымогатели семейств LockBit 3 (Black) и Babuk, созданные на основе утекших в публичный доступ данных.
Наряду с общими инструментами, а также идентичными тактиками, техниками, процедурами группировка и их сообщники при проведении атак используют общую сетевую инфраструктуру.
Ниже представлен список адресов, которые использовались злоумышленниками в атаках, начиная с февраля 2023 года:
Компания F.A.C.C.T. обнаружила новые кибератаки преступного синдиката Comet (известного также как Shadow / Twelve) и их соучастников, направленные против российских компаний. Эксперты полагают, что имеют дело с группой «двойного назначения» и для эффективного противодействия киберпреступникам публикуют списки инструментов и адресов, который злоумышленники использовали в своих атаках, начиная с начала 2023 года.
Comet, ранее известная как Shadow, - это вымогательская группа, которая сначала крадет конфиденциальные данные, а затем шифрует их и требует выкуп за расшифровку. В 2023 году максимальный запрошенный выкуп составил $3,5 млн.
Группировка Twelve является политически-мотивированной группой, которая в результате своих атак сначала крадет конфиденциальные данные из инфраструктуры жертвы, а после разрушает ее IT-инфраструктуру путем необратимого шифрования и удаления данных. Далее злоумышленники публикуют украденную информацию в различных публичных источниках, а также используют ее для проведения каскадных атак на контрагентов жертвы.
После публикации отчета F.A.C.C.T., в котором было Для просмотра ссылки Войди
Вместе с тем, среди соучастников Comet / Twelve выявлены участники группы Cobalt, которую в свое время Европол обвинял в кражах около 1 млрд евро у 100 банков по всему миру. Отчет Positive Technologies Для просмотра ссылки Войди
В атаках Comet / Twelve используются вредоносные программы, включая DarkGate, FaceFish, SystemBC, Cobint / Cobalt Strike. А на завершающем этапе для шифрования данных используют программы-вымогатели семейств LockBit 3 (Black) и Babuk, созданные на основе утекших в публичный доступ данных.
Наряду с общими инструментами, а также идентичными тактиками, техниками, процедурами группировка и их сообщники при проведении атак используют общую сетевую инфраструктуру.
Ниже представлен список адресов, которые использовались злоумышленниками в атаках, начиная с февраля 2023 года:
- 192.210.160[.]165
- 45.89.65[.]199
- 5.181.234[.]58
- 5.252.177[.]181
- 62.113.116[.]211
- 78.46.109[.]143
- 88.218.61 [,]114
- 94.103.88[.] 115
- 94.103.91[.]56
- 94.158.247[.]118
- 193.201.83[.]18
- 45.11.181[.]206
- 212.118.54[.]88
- 193.201.83[.]17
- popslunderflake[.]top
- getanaccess [.] net
- kavupdate[.]com
- fsbkal[.]com
- logilokforce[.]com
- onexboxlive[.]com
- stoloto[.]ai
- ptnau[.]com
- dnssign[.]xyz
- ukr-net[.]website
- Источник новости
- www.securitylab.ru