Российские компании подверглись серии атак новой группы хакеров-вымогателей Toy Ghouls, вооруженных вирусом-шифровальщиком. Об этом "Газете.Ru" сообщили в пресс-службе компании "Лаборатория Касперского". Вредоносная кампания продолжается с 2025 года.
По данным исследования, группировка нацелена исключительно на предприятия в России, включая компании из сфер промышленности, производства, строительства и телекоммуникаций.
Доступ к инфраструктуре жертв злоумышленники получают либо через подрядчиков, либо через уязвимые публичные сервисы. После проникновения они оставляют подписи и контактные данные в сообщениях с требованием выкупа.Как отметил ведущий аналитик Kaspersky Cyber Threat Intelligence Александр Кириченко, значительная часть компаний подключает к внутренним системам десятки и даже сотни контрагентов, что делает цепочки поставок уязвимыми. По данным внутреннего исследовательского центра компании, в 2025 году почти треть российских предприятий – 31% – столкнулись с атаками через подрядчиков, и этот вектор входит в число наиболее опасных угроз.
Для шифрования данных Toy Ghouls применяет разные инструменты в зависимости от платформы: для Windows используются RedAlert и Lockbit 3.0, а для Unix-систем и сетевых хранилищ NAS – Babuk. В вымогательских сообщениях злоумышленники используют ироничные формулировки и адаптируют тексты под специфику отрасли. Так, строительным компаниям они пишут, что жертву "посетил лабубу" и угрожают "снести домик из файлов бульдозером", а промышленным предприятиям устанавливают срок в 48 часов, предупреждая о росте "цены на баррель шифрования".
Исследователи также обнаружили возможные связи Toy Ghouls с другой группировкой – Head Mare.
В одной из операций применялось ПО MeshAgent, используемое и этим актором, а также зафиксировано сходство отдельных образцов шифровальщика LockBit.В "Лаборатории Касперского" сообщили, что ее решения позволяют обнаруживать вредоносную активность в рамках описанных атак.
Свежие комментарии