В конце июня 2024 года эксперты «Лаборатории Касперского» зафиксировали новую серию атак, использующих те же методы и тактики, что и предыдущие операции Twelve, а также связанные с ней командно-контрольные серверы. Это позволяет с высокой вероятностью утверждать, что группа продолжает свою работу и, возможно, вскоре снова привлечет внимание общественности.
Основной мотивацией деятельности группы Twelve является хактивизм. В отличие от многих других киберпреступников, атакующие не требуют выкуп за расшифровку данных, а предпочитают шифровать информацию своих жертв и затем разрушать инфраструктуру при помощи вредоносного ПО, известного как вайпер. Этот метод направлен на причинение максимального ущерба целевым организациям, при этом злоумышленники действуют без стремления к получению прямой материальной выгоды. Группа нацелена на критическую инфраструктуру, но не всегда достигает своих целей.
Twelve является частью более сложной киберугрозы. Она использует общие ресурсы и технологии с группой вымогателей DARKSTAR, ранее известных под названиями Shadow и COMET. Это указывает на то, что обе группы могут принадлежать к одному синдикату, который координирует свои действия и использует схожие инструменты. При этом, несмотря на явный хактивистский характер Twelve, DARKSTAR придерживается классических методов двойного вымогательства. Это разделение стратегий внутри синдиката подчеркивает многообразие современных киберугроз и их сложность.
Тем не менее, эксперты «Лаборатории Касперского» уверены, что атаки Twelve можно предотвратить. Анализ показал, что группа использует исключительно общедоступные инструменты вредоносного ПО и не располагает собственными разработками в данной области. Это открывает возможности для своевременного обнаружения и предотвращения их атак. Однако, для того чтобы избежать значительного ущерба для своей инфраструктуры, организациям необходимо предпринять активные меры для защиты.
Ранее мы писали о том, что хакерская группировка из Восточной Европы Lifting Zmiy атаковала российские компании через серверы, которые управляют лифтами в подъездах, следует из материалов центра исследования киберугроз Solar 4RAYS ГК «Солар».
