Разделы

Безопасность
|

Шифровальщики Toy Ghouls атакуют российские организации через подрядчиков

Аналитики Kaspersky Cyber Threat Intelligence изучили активность финансово мотивированной группировки шифровальщиков Toy Ghouls, которая с 2025 г. проводит кибератаки против российских организаций.

В исследовании описаны тактики, техники и процедуры Toy Ghouls по модели Unified Kill Chain — это цепочка, которая показывает, какие этапы должен пройти злоумышленник, чтобы достигнуть своей цели. Понимание действий атакующих помогает организациям разрабатывать более надёжные стратегии защиты и эффективнее реагировать на киберугрозы.

Что известно о Toy Ghouls. Злоумышленники нацелены исключительно на российские предприятия из таких сфер как промышленность, производство, строительство, телекоммуникации. Группировка открыто заявляет о себе, оставляя подпись и контактную информацию жертвам в сообщениях с требованием выкупа. Атакующие получают доступ либо через подрядчиков, либо через общедоступные сервисы.

«У многих компаний к внутренним системам подключены десятки контрагентов, а в некоторых случаях более 250. Злоумышленники всё чаще получают доступ к организациям не напрямую, а через более слабое звено — их доверенных партнёров, которые могут быть менее защищены. По данным нашего внутреннего исследовательского центра, почти треть предприятий в России — 31% — столкнулись с атаками через подрядчиков в 2025 г., и эту угрозу компании включают в десятку самых опасных», — сказал Александр Кириченко, ведущий аналитик Kaspersky Cyber Threat Intelligence.

«Быстрая компьютерная помощь онлайн 24/7». Для шифрования файлов Toy Ghouls использует три программы-вымогателя: в случае с Windows — троянцы RedAlert и Lockbit 3.0, а для операционной системы Unix и сетевого хранилища данных NAS применяет Babuk.

В сообщениях с требованием выкупа злоумышленники используют сложные речевые конструкции и едкие шутки. Атакующие могут адаптировать текст в зависимости от специфики организации. Например, в случае со строительной сферой сообщают, что жертву «посетил лабубу» и предупреждают, что, если компания решит не платить, её «домик из файлов снесут бульдозером». Промышленным предприятиям объясняют, что у них есть 48 часов, чтобы выйти на связь, поскольку «потом цена на баррель шифрования взлетит в два раза». В другом сообщении злоумышленники заявляют, что решили «испечь свежие булочки из файлов». Иногда они просто обещают «быструю компьютерную помощь онлайн 24/7», предлагая жертве обратиться за ней по указанному адресу электронной почты.

Следы Head Mare. Исследователи также обнаружили возможные связи Toy Ghouls с другой группировкой, которая активно атакует Россию, — Head Mare. Например, в одной из операций применялось ПО MeshAgent, которое также входит в арсенал Head Mare. Зафиксировано сходство отдельных образцов шифровальщика LockBit, которые замечены в операциях обоих акторов.

«Киберугрозы стремительно эволюционируют. Мы наблюдаем, как всё больше атакующих объединяют ресурсы, совместно используют инфраструктуру и обмениваются инструментами и тактиками, что позволяет им повышать уровень технической подготовки и действовать более скрытно. В России подобные киберкампании уже не являются чем-то необычным и значительно усложняют атрибуцию и исследования, поскольку становится сложно определить методы отдельных группировок, — сказал Александр Кириченко. — В таких условиях критически важно регулярно изучать актуальный ландшафт угроз с учётом специфики самой организации, а также её отрасли и региона — опираясь на данные киберразведки. Это позволяет выстраивать превентивную защиту и выявлять большинство угроз до того, как они нанесут ущерб».

Решения «Лаборатории Касперского» обнаруживают вредоносную активность в рамках описанных атак и детектируют её как: Backdoor.Script.1CShell.*; not-a-virus:HEUR:NetTool.Win32.NetScan.gen; Trojan-PSW.Win64.Mimikatz.*; Net-Worm.Win32.Kolab.*; HackTool.Script.1CShell.*; HEUR:Trojan-Ransom.Linux.Babugo.gen; not-a-virus:HEUR:NetTool.Multi.Localtonet.*; Trojan-Ransom.Win32.Lockbit.*; Trojan-Ransom.Win64.RedAlert.*; not-a-virus:HEUR:RemoteAdmin.Win32.MeshAgent.*

Для защиты от подобных атак «Лаборатория Касперского» рекомендует: предоставлять ИБ-специалистам возможность оставаться в курсе актуальных техник, тактик и процедур злоумышленников через доступ к данным о киберугрозах с помощью решений класса Threat Intelligence; использовать комплексные продукты, которые позволят выстроить гибкую систему безопасности, включая обеспечение надёжной защиты рабочих мест, сбор и анализ данных о событиях безопасности со всех источников в инфраструктуре, выявление и остановку атак любой сложности на ранних стадиях и обучение сотрудников базовым навыкам цифровой грамотности. Комбинации таких решений под потребности компании любого масштаба содержатся в линейке продуктов для защиты бизнеса Kaspersky Symphony; создавать резервные офлайн-копии данных, в которые атакующие не смогут внести изменения. Важно убедиться, что сотрудники компании могут быстро получить к ним доступ при необходимости либо в случае инцидента; регулярно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть; добавлять в контракты требования к соблюдению правил информационной безопасности: проводить регулярные аудиты, следить за соблюдением подрядчиками установленных в вашей организации правил ИБ и протоколов оповещения о киберинцидентах.

Подписаться на новости Короткая ссылка


Другие материалы рубрики

Петр Дубенсков, группа Rubytech: В долгосрочной перспективе дешевле делегировать построение инфраструктуры производителю ПАК

Популярные в России смартфоны на Android взламывают за 45 секунд из-за «дыры» в процессоре. Их даже не нужно включать

Владимир Волков, «Ростелеком»: Цифровизация промышленности требует комплексных решений

Уязвимость в ИИ-ассистенте Docker позволяла внедрять вредоносный код

Почта Банк перенес 200 млн файлов c Minio на российское S3-хранилище без остановки сервисов

Социальная сеть для искусственного интеллекта оказалась насквозь дырявой

Конференции

Business Process Management 2026

Технологии искусственного интеллекта 2026

Цифровизация HR 2026
Показать еще

CNewsMarket

Colocation

Подобрать ЦОД для размещения ИТ-оборудования

От 815 руб./месяц

VPS

Подобрать виртуальный сервер

От 30 руб./месяц

Dedicated

Подобрать выделенный сервер

От 1499 руб./месяц

BPM

Подобрать систему управления бизнес-процессами BPM

От 1 250 руб./месяц

Техника

Лучшие внешние звуковые карты до 35 000 рублей: выбор ZOOM

Лучшие видеорегистраторы в 2026 году: хиты продаж

Как платить смартфоном в 2026 году: все способы

Показать еще

Наука

Как узнать, какой была жизнь на Земле до древнейшего известного предка?

Переписана история последних дней динозавров: вместо того чтобы бороться за выживание, они процветали

Ученые выяснили, что при недостатке сна мозг запускает странную «очистку»
Показать еще
До 20 марта открыт прием заявок на Конкурс «Импортозамещение в телекоммуникациях» До 20 марта открыт прием заявок на Конкурс «Импортозамещение в телекоммуникациях»

erid: 2W5zFHXcZPo

Рекламодатель: ООО «ФЛАТ-ПРО»

ИНН/ОГРН: 9714013259/1237700428240

VI ЕЖЕГОДНАЯ КОНФЕРЕНЦИЯ ПО ПРОГНОЗИРОВАНИЮ СПРОСА И ОПЕРАЦИОННОМУ ПЛАНИРОВАНИЮ В ЦЕПЯХ ПОСТАВОК VI ЕЖЕГОДНАЯ КОНФЕРЕНЦИЯ ПО ПРОГНОЗИРОВАНИЮ СПРОСА И ОПЕРАЦИОННОМУ ПЛАНИРОВАНИЮ В ЦЕПЯХ ПОСТАВОК

erid: 2W5zFJ8d1i9

Рекламодатель: ООО «Ново Биай»

ИНН/ОГРН: 9731064180/1207700173339

Сайт: https://novobi.ru/

«Базальт СПО», разработчик операционных систем «Альт», приглашает на главное событие года – четвертую партнерскую конференцию AltConf: Orange Season. «Базальт СПО», разработчик операционных систем «Альт», приглашает на главное событие года – четвертую партнерскую конференцию AltConf: Orange Season.

erid: 2W5zFJymNJu

Рекламодатель: ООО "Базальт СПО"

ИНН/ОГРН: 7714350892/1157746734837