В «Лаборатории Касперского» зафиксировали серию атак на российские компании с использованием вируса-шифровальщика, инициированные новой группой хакеров-вымогателей под названием Toy Ghouls. Эти атаки стартовали в 2025 году.
Хакеры нацелены исключительно на российские предприятия, включая компании из сфер промышленности, производства, строительства и телекоммуникаций. Доступ к инфраструктуре они получают либо через подрядчиков, либо через уязвимые публичные сервисы. После проникновения в систему компании, они оставляют контактные данные и шутливые вымогательские сообщения для получения выкупа.
Как сообщает ведущий аналитик Kaspersky Cyber Threat Intelligence Александр Кириченко, многие компании подключают к своим внутренним системам значительное количество контрагентов, что делает цепочку поставок уязвимой. Около 31% российских предприятий в 2025 году столкнулись с атаками, осуществляемыми через подрядчиков, как отмечает издание «Газета.ru».
В своих атаках Toy Ghouls применяют разные инструменты для каждой платформы. Например, для Windows используются RedAlert и Lockbit 3.0, в то время как для Unix-систем и сетевых хранилищ NAS – Babuk. Из-за обнаруженного применения ПО MeshAgent и схожести некоторых образцов шифровальщика LockBit предполагается, что Toy Ghouls могут иметь связи с другой группировкой – Head Mare.
Отличительной чертой этих хакеров-юмористов является то, что в своих вымогательских сообщениях они требуют выкуп, адаптируя текст к специфике отрасли. Например, когда им удается проникнуть в инфраструктуру строительной компании, они оставляют сообщение о том, что жертву «посетил лабубу» и угрожают «снести домик из файлов бульдозером». В случае с промышленными предприятиями они предупреждают о повышении «цены на баррель шифрования» через 48 часов.
Ранее мошенники разработали метод получения доступа к защищенным аккаунтам нидерландских отелей на платформе Booking.com. В результате они выдают себя за представителей гостиниц, связываются с гостями и пытаются выманить у них деньги.
Эксперты F6 зафиксировали новую волну атак трояна Falcon
