Шифровальщики Toy Ghouls атакуют российские компании через подрядчиков
С начала 2025 года финансово мотивированная группировка шифровальщиков Toy Ghouls проводит кибератаки против российских организаций, согласно данным исследования «Лаборатории Касперского», посвященного тактикам и техникам злоумышленников.
Целью группы являются исключительно российские предприятия из сфер промышленности, производства, строительства и телекоммуникаций. Атакующие получают доступ к инфраструктуре жертв либо через подрядчиков, либо используя общедоступные сервисы. По данным исследовательского центра компании, с атаками через подрядчиков в 2025 году столкнулся 31% предприятий в России.
Для шифрования данных Toy Ghouls применяет три программы-вымогателя: под ОС Windows используются троянцы RedAlert и Lockbit 3.0, а для атак на системы Unix и сетевые хранилища (NAS) — шифровальщик Babuk.
В тексте требований о выкупе злоумышленники используют нестандартные формулировки и шутки, подстраивая их под сферу деятельности жертвы. Например, строительным компаниям они сообщают, что их «посетил лабубу», и угрожают «домик из файлов снесут бульдозером». Промышленным предприятиям дают 48 часов на связь, предупреждая, что затем «цена на баррель шифрования взлетит в два раза».
В ходе анализа была выявлена возможная связь Toy Ghouls с группировкой Head Mare, также активно атакующей российские компании. Сходство прослеживается в использовании ПО MeshAgent и отдельных образцов шифровальщика LockBit. Как пояснили эксперты, группировки все чаще объединяют ресурсы и обмениваются инструментами, что усложняет атрибуцию атак.
Для защиты от подобных угроз в компании рекомендуют использовать актуальные данные киберразведки для отслеживания тактик злоумышленников, применять комплексные продукты для защиты рабочих мест и выявления атак на ранних стадиях. Также указывается на важность создания резервных офлайн-копий данных, регулярного обновления ПО и включения требований по соблюдению правил информационной безопасности в договоры с подрядчиками.
Читайте также
