Специалисты по кибербезопасности из «Лаборатории Касперского» выявили возобновление активности хакерской группы Twelve, нацеленной на российские государственные компании. Эта группа, известная своими разрушительными атаками, вновь появилась на радарах экспертов после нескольких месяцев затишья.
История и тактика группы Twelve
Хактивистская группа Twelve начала свою деятельность в апреле 2023 года, специализируясь на атаках против российских организаций. Изначально их тактика включала публикацию персональных данных в Telegram-канале, который был заблокирован весной 2024 года за нарушение правил платформы.
После периода неактивности, в конце июня 2024 года эксперты зафиксировали новую атаку, использующую методы, идентичные почерку Twelve. Это позволило сделать вывод о возобновлении деятельности группы.
Методы и инструменты атак
Основная цель Twelve – нанесение максимального ущерба атакуемым организациям путем шифрования и уничтожения данных. Это значительно затрудняет восстановление информационной инфраструктуры жертв.
Исследователи отмечают, что Twelve использует общую инфраструктуру и тактики с вымогательской группой DARKSTAR (ранее известной как Shadow и Comet). Это указывает на возможную принадлежность к одному хакерскому синдикату, хотя Twelve демонстрирует более явный хактивистский характер атак.
Техники проникновения и используемые инструменты
Хотя точные методы разведки Twelve остаются неизвестными, эксперты предполагают, что группа использует сканирование IP-адресов по всей России для выявления уязвимых точек входа, включая VPN-серверы и доступные из интернета приложения.
В своем арсенале Twelve использует общедоступные инструменты и веб-шеллы, такие как:
- ngrok
- Cobalt Strike
- mimikatz
- BloodHound
- PowerView
- CrackMapExec
- PsExec
Группа часто получает доступ к инфраструктуре жертв через их подрядчиков, используя действительные учетные данные, VPN- или SSH-сертификаты. После проникновения хакеры применяют RDP для латерального движения внутри сети.
Меры защиты и рекомендации по кибербезопасности
Учитывая отсутствие у Twelve собственных уникальных разработок, эксперты считают, что атаки этой группы можно эффективно обнаруживать и предотвращать. Для защиты от подобных угроз рекомендуется:
- Регулярно обновлять системы безопасности и программное обеспечение
- Использовать многофакторную аутентификацию для всех критических систем
- Проводить аудит доступа подрядчиков к корпоративным ресурсам
- Внедрить системы обнаружения и предотвращения вторжений (IDS/IPS)
- Обучать сотрудников основам кибергигиены и распознаванию фишинговых атак
Возвращение группы Twelve подчеркивает необходимость постоянной бдительности в сфере кибербезопасности. Организациям, особенно в государственном секторе, следует усилить свои меры защиты и быть готовыми к потенциальным атакам. Своевременное обнаружение и реагирование на угрозы остаются ключевыми факторами в предотвращении серьезного ущерба от кибератак.