Shadow-Twelve Hacking Team
Shadow Ransomware
Shadow Hacking Team
Twelve Hacking Team
Aliases: Comet, DARKSTAR
(хакерская группа, шифровальщик-деструктор, шифровальщик-вымогатель) (первоисточник)
Translation into English
Название: проукраинская хакерская группа Twelve из Украины. В СМИ еще муссируется название Twelfth Wolf.
Более того, у этих хактивистов наблюдается то раздвоение, то объединение групп, то они действуют как Shadow, то как Twelve, то меняют название.
Когда им нужны деньги, они называются Shadow (СМИ: Shadow Wolf), похищают данные из инфраструктуры жертв, а затем шифруют и требуют выкуп.
Когда им нужно возвеличить себя, они называются Twelve (СМИ: Twelfth Wolf), повреждают инфраструктуру жертв и публикуют похищенные данные.
---
© Генеалогия: ранний Shadow + LockBit > Shadow > Twelve > Comet > DARKSTAR
© Генеалогия: ранний Shadow + LockBit > Shadow > Twelve > Comet > DARKSTAR
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Активность этой хакерской группы с использованием шифрования файлов была обнаружена 10 апреля 2023 г. Их атаке подверглись ресурсы Федеральной таможенной службы (ФТС) России. Результатом атаки является сбой в работе Единой автоматизированной информационной системы таможенных органов (ЕАИС ТО). Российские СМИ вскользь упомянули об инциденте, сосредоточивших на обсуждении простоев и убытков. Больше конкретики было в статье "Ведомостей". Скриншот части их статьи предлагается.
К зашифрованным файлам добавляется расширение: .<random{9}>
Пример такого расширения: .raK5nP1LQ
Название каждого зашифрованного файла заменяется случайными знаками, чтобы затруднить распознавание нужных файлов. Размер почти не меняется.
Пример такого расширения: .raK5nP1LQ
Название каждого зашифрованного файла заменяется случайными знаками, чтобы затруднить распознавание нужных файлов. Размер почти не меняется.
Текстовый файл, оставляемый вместе записки о выкупе, называется: <random{9}>.README.txt
То есть используется набор знаков из добавленного расширения.
Пример такого названия: raK5nP1LQ.README.txt
Содержание записки:
Это скриншот, так как текст из записки сюда не вставить. Он будет отображаться некорректно.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Политизированные украинские и проукраинские СМИ на следующий день поспешили позлорадствовать над инцидентом и похвалить "своих героев". Один из таких примеров "геройства" на скриншоте ниже.
Содержание записки:
Это скриншот, так как текст из записки сюда не вставить. Он будет отображаться некорректно.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Политизированные украинские и проукраинские СМИ на следующий день поспешили позлорадствовать над инцидентом и похвалить "своих героев". Один из таких примеров "геройства" на скриншоте ниже.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
raK5nP1LQ.README.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
более ранняя проукраинская группа - с марта 2022 или раньше
Shadow Hacking Group (Shadow Ransomware) - с сентября 2022
Twelve Hacking Group (без Ransomware) - с апреля 2023
Comet Hacking Group (Comet Ransomware) - с сентября 2023
DARKSTAR Hacking Group - с февраля 2024
=== БЛОК ОБНОВЛЕНИЙ и НОВОСТЕЙ === BLOCK OF UPDATES and NEWS ===
Обновление августа 2023:
Скриншот записки от Shadow:
Обновления августа 2023:
В конце августа кибербанды Shadow и Twelve провели совместные атаки. Они используют LockBit 3 (LockBit Black) для регулярных атак. Для Linux они используют программу-вымогатель, основанную на украденном коде Babuk.
В августе 2023 эксперты компании F.A.C.C.T. сделали выводы том, что Shadow и Twelve являются по сути одной хакерской группой с общими инструментами, техниками, а в нескольких атаках использовали общую сетевую инфраструктуру. После этого разоблачения группировка Shadow провела ребрендинг, взяв название Comet (C0met).
По словам самих участников Comet, в составе группы есть люди разных национальностей, при этом атакам якобы подвергаются не только российские организации. Тем не менее в F.A.C.C.T. отметили, что все жертвы Comet располагаются в городах России: Москва, Санкт-Петербург, Екатеринбург, Ижевск, Барнаул и других.
Обновления ноября 2023:
Эксперты F.A.C.C.T. раскрыли сетевую инфраструктуру преступного синдиката Comet (ранее Shadow) / Twelve и их сообщников. Подробнее в их статье >>
=== 2024 ===
Новость от 6 марта 2024:
Эксперты F.A.C.C.T. исследовали ранее неизвестные атаки хактивистов из Shadow. Проанализирована активность группы Shadow с сентября 2022 по август 2023-го и выявлено, что за это время было атаковано более 100 целей в России, из которых около 10 пострадали. Более того в феврале 2024-го, группа сменила название на DARKSTAR.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: *** Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
