Хактивисты Twelve вновь начали атаковать российские организации

«Лаборатория Касперского» предупредила о возобновлении активности группы киберпреступников Twelve. Кибергруппа хактивистов Twelve атакует российские организации с апреля 2023 года. Она публиковала персональные данные реальных людей в своём Telegram-канале вплоть до весны 2024 года, когда канал был заблокирован за нарушение правил площадки. Затем несколько месяцев о группе ничего не было слышно, но в конце июня 2024 года эксперты «Лаборатории Касперского» зарегистрировали атаку. 

Хактивисты Twelve вновь начали атаковать российские организации
Сгенерировано нейросетью Dall-E

В атаке используются техники, полностью идентичные атакам кибергруппы Twelve, а также связанные с ней командно-контрольные серверы. Как отметили эксперты, это позволяет с высокой степенью вероятности предположить, что группа продолжает свою активность и, возможно, скоро вновь заявит о себе в публичном пространстве.

Основной мотив группы Twelve — хактивизм. Это проявляется в методах работы атакующих: они не требуют выкуп за расшифровку данных, а предпочитают шифровать информацию жертв, а затем разрушать инфраструктуру, делая невозможным восстановление данных. Такой подход указывает на стремление нанести максимальный ущерб целевым организациям без прямой материальной выгоды. В своих атаках группа стремится добраться до критической инфраструктуры, однако это не всегда ей удаётся.

Twelve — часть более сложной группы. Twelve использует общую с группой вымогателей Darkstar (ранее называвшаяся Shadow и Comet) инфраструктуру, утилиты и техники c процедурами (TTP). Это свидетельствует о том, что они принадлежат к одному синдикату или кластеру деятельности. При этом если действия Twelve носят явно хактивистский характер, то Darkstar придерживается классической схемы двойного вымогательства. Такое разделение целей внутри синдиката подчёркивает сложность и разнообразие современных киберугроз.

Эксперты «Лаборатории Касперского» выяснили, что группа применяет исключительно общедоступный арсенал различного вредоносного ПО. У злоумышленников отсутствуют собственные разработки в этой области. Как следствие, атаки Twelve можно своевременно обнаружить и предотвратить. Однако, если этого не сделать, злоумышленники могут нанести значительный ущерб инфраструктуре организации.
 


Источник