Эксперты из F.A.C.C.T. обнаружили , что известная киберпреступная группировка Shadow, занимающаяся вымогательством, провела ребрендинга и теперь действует под именем C0met. Изменения последовали после недавней публикации о тесной взаимосвязи между двумя хакерскими группами – Twelve и Shadow, активно атакующих крупные российские компании.
Под новым именем C0met, злоумышленники продолжают использовать в своих атаках зашифрованную версию программы -вымогателя LockBit 3.0 (Black), созданную с помощью одной и той же версии утекшего в открытый доступ конструктора LockBit 3.0 (Black). Для систем на базе Linux злоумышленники используют программу-вымогатель, разработанную на основе исходных кодов Babuk.
Хакеры не только крадут и шифруют корпоративные данные, но также похищают сессии Telegram-клиентов, установленных на офисных компьютерах. Отмечается, что киберпреступники создают группу в Telegram, посвященную взлому, и добавляют туда ИТ-специалистов и руководство пострадавшей компании.
Члены группировки Comet (C0met) также заявляют об интернациональном составе группировки, и что они атакуют не только Россию. Преступники «прикрываются» сложностью анализа зашифрованной версии LockBit 3, а соответственно и атрибуции таких версий LockBit 3 (Black) к конкретной преступной группе.
Согласно данным, жертвы атак группировок Shadow и Twelve, а теперь и Comet, находятся в российских городах, таких как Москва, Санкт-Петербург, Барнаул, Екатеринбург, Ижевск, Череповец и другие.
Источник: SecurityLab