Лаборатория Касперского о том, что две хактивистские группы – Twelve и BlackJack – возможно, действуют в рамках одной и той же структуры. По результатам исследований, обе группировки используют схожее вредоносное ПО и применяют одинаковые методы его распространения и выполнения. Впервые эти группы активизировались в конце 2023 года, начав атаки на компании, базирующиеся в России. Несмотря на то, что хакеры позиционируют свои действия как финансово мотивированные, основная их цель заключается в краже данных и разрушении IT-инфраструктуры.
BlackJack, одна из групп, использует в своих атаках общедоступное программное обеспечение, такое как SSH-клиент PuTTY и утекший в открытый доступ wiper Shamoon, что подтверждает их ограниченные ресурсы по сравнению с более крупными кибергруппировками. Помимо этого, они активно применяют шифровальщик LockBit, который был создан на основе утекшего исходного кода, а также используют инструмент для туннелирования ngrok для поддержания постоянного доступа к заражённым системам.
Обе группы не ограничиваются использованием только вредоносных программ. Они также применяют легитимные инструменты и утилиты, такие как Radmin и AnyDesk, для удалённого управления системами. Столь широкое использование открытых и доступных инструментов делает их атаки менее заметными на начальных этапах и усложняет процесс их отслеживания.
Исследования показали, что атаки обеих групп следуют одним и тем же сценариям: вредоносное ПО размещается в одних и тех же сетевых директориях, а запуск осуществляется с помощью планировщика задач. В дополнение к этому, методы сокрытия следов, такие как очистка журналов событий с помощью PowerShell, также идентичны для обеих групп.
Несмотря на попытки позиционировать свои действия как финансово мотивированные атаки, Twelve и BlackJack скорее нацелены на максимальное разрушение IT-сред пострадавших организаций.