Группировки Battle Wolf, Twelfth Wolf и Shadow Wolf используют для атак на российские организации утекшие в сеть исходные коды популярных программ-вымогателей Babuk, Conti и LockBit. По данным специалистов компании Bi.zone, количество таких атак уже превышает 40.
Исследователи рассказывают, что с начала 2022 года внутри многих хак-групп произошел разлад. Вместе с этим под влиянием геополитических событий повысилось внимание к злоумышленникам со стороны правоохранительных органов и исследователей. Участились взломы используемых преступниками инфраструктур, группировки публикуют в сети данные своих конкурентов, информацию о применяемых методах и инструменты для проведения атак, например билдеры, позволяющие создавать вредоносное ПО.
Так в открытом доступе появились исходные коды вымогателей Babuk, Conti и LockBit, которыми теперь активно пользуются сразу три группировки — Battle Wolf, Twelfth Wolf и Shadow Wolf.
Battle Wolf появилась в конце февраля 2022 года на фоне геополитических событий. По данным, публикуемым группой в X (ранее Twitter), за это время она успешно атаковала как минимум 15 крупных организаций на территории России: научные, производственные, государственные, финансовые и другие.
Twelfth Wolf появилась в апреле 2023 года, реализовав как минимум четыре успешные атаки. В своем Telegram-канале группа сообщала об атаке на одно из российских федеральных ведомств, которая, по словам злоумышленников, привела к утечке конфиденциальной информации.
Shadow Wolf заявила о себе в марте 2023 года несколькими успешными атаками на российские инженерные, страховые, транспортные и медиакомпании. В отличие от Battle Wolf и Twelfth Wolf, группа руководствуется исключительно финансовыми мотивами. Коммуникация между представителем Shadow Wolf и жертвой обычно проходит на странице в даркнете, адрес которой помещен в записку с требованием выкупа за расшифровку и удаление выгруженных данных.
В некоторых случаях атакующие создают чат в Telegram, куда добавляют весь IT‑персонал пострадавшей организации.
«Сегодня опубликованные в сети исходные коды вредоносных программ пользуются большой популярностью среди злоумышленников. Открытый доступ к подобным инструментам снижает порог вхождения в киберпреступность, делая атаки гораздо дешевле и проще с точки зрения организации. Даже те страны и отрасли, которые ранее не попадали под атаки оригинальных преступных групп, теперь оказываются под прицелом», — комментирует руководитель управления киберразведки компании Олег Скулкин.
Исследователи рассказывают, что с начала 2022 года внутри многих хак-групп произошел разлад. Вместе с этим под влиянием геополитических событий повысилось внимание к злоумышленникам со стороны правоохранительных органов и исследователей. Участились взломы используемых преступниками инфраструктур, группировки публикуют в сети данные своих конкурентов, информацию о применяемых методах и инструменты для проведения атак, например билдеры, позволяющие создавать вредоносное ПО.
Так в открытом доступе появились исходные коды вымогателей Babuk, Conti и LockBit, которыми теперь активно пользуются сразу три группировки — Battle Wolf, Twelfth Wolf и Shadow Wolf.
Battle Wolf появилась в конце февраля 2022 года на фоне геополитических событий. По данным, публикуемым группой в X (ранее Twitter), за это время она успешно атаковала как минимум 15 крупных организаций на территории России: научные, производственные, государственные, финансовые и другие.
Twelfth Wolf появилась в апреле 2023 года, реализовав как минимум четыре успешные атаки. В своем Telegram-канале группа сообщала об атаке на одно из российских федеральных ведомств, которая, по словам злоумышленников, привела к утечке конфиденциальной информации.
Shadow Wolf заявила о себе в марте 2023 года несколькими успешными атаками на российские инженерные, страховые, транспортные и медиакомпании. В отличие от Battle Wolf и Twelfth Wolf, группа руководствуется исключительно финансовыми мотивами. Коммуникация между представителем Shadow Wolf и жертвой обычно проходит на странице в даркнете, адрес которой помещен в записку с требованием выкупа за расшифровку и удаление выгруженных данных.
В некоторых случаях атакующие создают чат в Telegram, куда добавляют весь IT‑персонал пострадавшей организации.
«Сегодня опубликованные в сети исходные коды вредоносных программ пользуются большой популярностью среди злоумышленников. Открытый доступ к подобным инструментам снижает порог вхождения в киберпреступность, делая атаки гораздо дешевле и проще с точки зрения организации. Даже те страны и отрасли, которые ранее не попадали под атаки оригинальных преступных групп, теперь оказываются под прицелом», — комментирует руководитель управления киберразведки компании Олег Скулкин.
