В этом году криминалисты компании F.A.C.C.T. обнаружили группу вымогателей.
Напряженная геополитическая обстановка и доступность исходных кодов и билдеров породили большое количество криминальных групп, использующих программы-вымогатели в атаках на российские компании. Masque – русскоговорящая финансово мотивированная группа, осуществляющая атаки на российский бизнес с использованием программ-вымогателей LockBit 3 (Black) и Babuk (ESXi).
Деятельность группа Masque начала в январе 2024 года, с мая по октябрь 2024 года наблюдалось заметное снижение ее активности. Однако в ноябре-декабре 2024 года Masque совершила несколько атак на крупные российские компании, в арсенале группы также появились новые инструменты. Всего с января 2024 года группа совершила как минимум десять атак. Ее целями становились российские компании из сегмента малого и среднего бизнеса. Сумма первоначального выкупа составляет 5 — 10 млн рублей (в BTC или XMR).
В целом группа Masque не демонстрирует в атаках изощренных и инновационных методов. Используемый группой инструментарий не отличается большим разнообразием. Ключевую роль в нем играют средство удаленного доступа AnyDesk, а также публично-доступные утилиты, такие как сhisel, LocaltoNet и mimikatz. Для шифрования данных группа использует уже ставшим популярным для российских жертв дуэт программ-вымогателей LockBit 3 (Black) и Babuk (ESXi). Для общения со своей жертвой злоумышленники используют мессенджер Tox, для каждой жертвы используется свой уникальный идентификатор.
Эксперты отмечают, что группа Masque не уделяет должного внимания глубокому изучению инфраструктуры жертвы и предварительной эксфильтрации. Время нахождения атакующих внутри инфраструктуры варьируется от нескольких дней до двух недель, начиная с момента получения доступа до финального этапа атаки. В результате этого резервные копии часто остаются нетронутыми, а данные на некоторых хостах не шифруются вовсе.
Подробности здесь.