Злоумышленники нацелены на предприятия из таких сфер, как промышленность, производство, строительство, телекоммуникации
Аналитики Kaspersky Cyber Threat Intelligence изучили активность финансово мотивированной группировки шифровальщиков Toy Ghouls, которая с 2025 года проводит кибератаки против российских организаций.
В исследовании описаны тактики, техники и процедуры Toy Ghouls по модели Unified Kill Chain — это цепочка, которая показывает, какие этапы должен пройти злоумышленник, чтобы достигнуть своей цели. Понимание действий атакующих помогает организациям разрабатывать более надёжные стратегии защиты и эффективнее реагировать на киберугрозы.
Что известно о Toy Ghouls. Злоумышленники нацелены исключительно на российские предприятия из таких сфер, как промышленность, производство, строительство, телекоммуникации. Группировка открыто заявляет о себе, оставляя подпись и контактную информацию жертвам в сообщениях с требованием выкупа. Атакующие получают доступ либо через подрядчиков, либо через общедоступные сервисы.
«У многих компаний к внутренним системам подключены десятки контрагентов, а в некоторых случаях более 250. Злоумышленники всё чаще получают доступ к организациям не напрямую, а через более слабое звено — их доверенных партнёров, которые могут быть менее защищены. По данным нашего внутреннего исследовательского центра, почти треть предприятий в России — 31% — столкнулись с атаками через подрядчиков в 2025 году, и эту угрозу компании включают в десятку самых опасных», — комментирует Александр Кириченко, ведущий аналитик Kaspersky Cyber Threat Intelligence.
«Быстрая компьютерная помощь онлайн 24/7». Для шифрования файлов Toy Ghouls использует три программы-вымогателя: в случае с Windows — троянцы RedAlert и Lockbit 3.0, а для операционной системы Unix и сетевого хранилища данных NAS применяет Babuk.
В сообщениях с требованием выкупа злоумышленники используют сложные речевые конструкции и едкие шутки. Атакующие могут адаптировать текст в зависимости от специфики организации. Например, в случае со строительной сферой сообщают, что жертву «посетил лабубу» и предупреждают, что, если компания решит не платить, её «домик из файлов снесут бульдозером». Промышленным предприятиям объясняют, что у них есть 48 часов, чтобы выйти на связь, поскольку «потом цена на баррель шифрования взлетит в два раза». В другом сообщении злоумышленники заявляют, что решили «испечь свежие булочки из файлов». Иногда они просто обещают «быструю компьютерную помощь онлайн 24/7», предлагая жертве обратиться за ней по указанному адресу электронной почты.
Следы HeadMare. Исследователи также обнаружили возможные связи Toy Ghouls с другой группировкой, которая активно атакует Россию, — Head Mare. Например, в одной из операций применялось ПО MeshAgent, которое также входит в арсенал Head Mare. Зафиксировано сходство отдельных образцов шифровальщика LockBit, которые замечены в операциях обоих акторов.
«Киберугрозы стремительно эволюционируют. Мы наблюдаем, как всё больше атакующих объединяют ресурсы, совместно используют инфраструктуру и обмениваются инструментами и тактиками, что позволяет им повышать уровень технической подготовки и действовать более скрытно. В России подобные киберкампании уже не являются чем-то необычным и значительно усложняют атрибуцию и исследования, поскольку становится сложно определить методы отдельных группировок, — объясняет Александр Кириченко. — В таких условиях критически важно регулярно изучать актуальный ландшафт угроз с учётом специфики самой организации, а также её отрасли и региона — опираясь на данные киберразведки. Это позволяет выстраивать превентивную защиту и выявлять большинство угроз до того, как они нанесут ущерб».
Полное исследование доступно на сайте Securelist.ru.
Решения «Лаборатории Касперского» обнаруживают вредоносную активность в рамках описанных атак и детектируют её как: Backdoor.Script.1CShell.*; not-a-virus:HEUR:NetTool.Win32.NetScan.gen; Trojan-PSW.Win64.Mimikatz.*; Net-Worm.Win32.Kolab.*; HackTool.Script.1CShell.*; HEUR:Trojan-Ransom.Linux.Babugo.gen; not-a-virus:HEUR:NetTool.Multi.Localtonet.*; Trojan-Ransom.Win32.Lockbit.*; Trojan-Ransom.Win64.RedAlert.*; not-a-virus:HEUR:RemoteAdmin.Win32.MeshAgent.*
Для защиты от подобных атак «Лаборатория Касперского» рекомендует:
● предоставлять ИБ-специалистам возможность оставаться в курсе актуальных техник, тактик и процедур злоумышленников через доступ к данным о киберугрозах с помощью решений класса Threat Intelligence;
● использовать комплексные продукты, которые позволят выстроить гибкую систему безопасности, включая обеспечение надёжной защиты рабочих мест, сбор и анализ данных о событиях безопасности со всех источников в инфраструктуре, выявление и остановку атак любой сложности на ранних стадиях и обучение сотрудников базовым навыкам цифровой грамотности. Комбинации таких решений под потребности компании любого масштаба содержатся в линейке продуктов для защиты бизнеса Kaspersky Symphony;
● создавать резервные офлайн-копии данных, в которые атакующие не смогут внести изменения. Важно убедиться, что сотрудники компании могут быстро получить к ним доступ при необходимости либо в случае инцидента;
● регулярно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть;
● добавлять в контракты требования к соблюдению правил информационной безопасности: проводить регулярные аудиты, следить за соблюдением подрядчиками установленных в вашей организации правил ИБ и протоколов оповещения о киберинцидентах.
