В последние месяцы мир информационной безопасности вновь заговорил о хакерской группе Twelve. Эта активная киберпреступная ячейка прославилась громкими атаками на крупные компании и организации РФ, оставляя за собой заметный след. В результате её атак нарушалась работа критических ИТ-систем, а восстановление доступа становилось возможным лишь после выполнения условий злоумышленников. Возвращение группы Twelve стало поводом для обсуждения современных методов киберзащиты и поиска новых способов противодействия угрозам. Эксперты уверены: своевременные меры цифровой грамотности и современные технологии кибербезопасности позволяют минимизировать риски и обеспечить устойчивость ИТ-инфраструктуры российских компаний.
Возвращение Twelve: анализ характерных особенностей атак
В середине августа 2024 года специалисты вновь зафиксировали всплеск активности Twelve. Аналитики обратили внимание на повторение уже знакомых методов и инструментов, используемых хакерами для проникновения во внутренние сети компаний. Подобные «почерки» позволили с высокой долей уверенности связать инциденты с деятельности небезызвестной группы Twelve.
После периода относительного спокойствия и тишины Twelve реанимировали свои операции. Этот «перерыв» не стал признаком их исчезновения — напротив, группа сумела адаптироваться, изменив вектор атак и усилив свой технический арсенал. Стоит отметить особую изощрённость методов взлома: злоумышленники тщательно подбирают инструменты для компрометации сетей и стремятся нанести максимальный ущерб своим целям.
Аналитики связывают новую волну атак с влиянием ещё одной известной кибергруппы — Darkstar. Оба коллектива часто используют схожие техники и программные решения, что может свидетельствовать о тесных коммуникациях между хакерами. В то время как Darkstar придерживается классической модели вымогательства и преследует в первую очередь финансовые интересы, Twelve нередко продвигают хактивистские и даже идеологические мотивы, жертвуя потенциальной прибылью ради максимизации урона.
Технологический арсенал Twelve: доступно и разрушительно
Одной из отличительных черт Twelve стало применение исключительно распространённых и легкодоступных ИТ-инструментов. В числе их основного арсенала — такие решения, как ngrok, Cobalt Strike, mimikatz, chisel, BloodHound, PowerView, adPEAS, CrackMapExec, Advanced IP Scanner и PsExec. Все эти программы можно найти в открытом доступе. Такое положение дел делает потенциальную опасность атак ещё выше: воспользоваться этими утилитами могут, по сути, все желающие, обладающие минимальным уровнем технических знаний.
Как правило, атакующие тщательно подбирают инструменты под конкретную инфраструктуру жертвы, что значительно увеличивает вероятность проникновения и успеха операции. Стандартный набор программ позволяет максимально автоматизировать процесс получения доступа, сбора информации о внутренних сервисах, обхода политик безопасности и последующего запуска вредоносных модулей.
Особое место в арсенале Twelve занимает версия шифровальщика LockBit 3.0, собранная на базе открытого кода. Использование модифицированных вариантов этого программного обеспечения делает атаки группы сложно обнаруживаемыми для многих классических антивирусных решений. В некоторых случаях дополнительно применяются вайперы — программы, уничтожающие все данные на целевых устройствах, чтобы исключить возможность их восстановления и резко повысить давление на жертв.
Атаки с акцентом на социальную инженерию
Яркой чертой стратегии Twelve можно назвать опору на методы социальной инженерии. В числе наиболее успешных схем — компрометация подрядчиков и поставщиков услуг. В большинстве случаев хакеры получают доступ к внутренней инфраструктуре крупной организации через связанное третье лицо, использующее менее защищённые каналы передачи данных или уязвимые учетные записи.
Именно доверительные отношения между компанией-жертвой и её подрядчиками становятся слабым звеном. Применяя психологическое воздействие, злоумышленники добиваются передачи критически важной информации от сотрудников, обладающих административным доступом. Впоследствии полученные учётные данные используются для выхода в основную корпоративную сеть, дальнейшего закрепления в инфраструктуре и развертывания вредоносных модулей.
Эксперты советуют оставаться начеку и регулярно обучать сотрудников основам кибербезопасности, формируя культуру мгновенного реагирования на подозрительные письма, звонки или просьбы с целью предотвращения подобных сценариев.
Современная защита от Twelve и LockBit 3.0: реальные шаги для компаний
Рост активности Twelve — сигнал для бизнеса обратить особое внимание на совершенствование средств защиты. Использование широко известных инструментов злоумышленниками играет на руку компаниям: многие угрозы могут быть выявлены стандартными средствами мониторинга и защиты, если они должным образом настроены и своевременно обновляются.
Первый шаг — регулярное тестирование защищённости собственной инфраструктуры, включая аудит прав доступа и ревизию используемых систем. Важно исключить потенциальные уязвимости, связанные с человеческим фактором, — например, убедиться в осведомлённости работников о ключевых принципах цифровой гигиены и правилах обращения с корпоративной информацией.
Вторым важным направлением является интеграция современных инструментов анализа аномалий, облачных SIEM-систем и отказоустойчивых антивирусных решений, способных обнаруживать как новые модификации классических вредоносных программ, так и сложные цепочки атак, построенные на сочетании различных техник.
Регулярное резервное копирование и составление сценариев экстренного реагирования также существенно повышают шансы компании быстро восстановить ИТ-системы после потенциального инцидента.
Экспертный взгляд: позитивное будущее кибербезопасности
Угроза со стороны Twelve и использование LockBit 3.0 требуют постоянного совершенствования подходов к защите. Однако, благодаря активному развитию средств ИБ и сотрудничеству между компаниями и экспертными сообществами, всё больше организаций не только отражают атаки, но и успешно предотвращают их на ранних этапах.
Коллективные усилия в формировании открытой среды обмена знаниями и инновационными технологиями позволяют бизнесу уверенно противостоять атакам, создавая прочную основу для безопасного развития цифровых проектов. Современный подход к защите не ограничивается внедрением новых программ — он подразумевает развитие корпоративной культуры, включающей непрерывное обучение и обмен опытом между специалистами.
Вывод: оптимизм и готовность к новым вызовам
Сегодня группа Twelve, наряду с угрозами LockBit 3.0 и деятельностью таких акторов, как Darkstar, продолжает оставаться объектом пристального внимания. Тем не менее, системная работа по развитию инструментов кибербезопасности, повышение осведомлённости сотрудников компаний и постоянное совершенствование технологий создают все условия для успешной защиты от подобных атак.
Несмотря на активность злоумышленников, каждый новый этап их развития становится стимулом для всего рынка информационной безопасности искать ещё более надёжные способы защиты, укреплять взаимодействие между экспертами, компаниями и государством. Этот позитивный тренд позволяет надеяться, что будущее российской кибербезопасности будет прочным и устойчивым — стабильность возможна только благодаря совместной работе и грамотному подходу к организации систем защиты от угроз любого уровня.
Источник: biz.cnews.ru
