Хакеры Toy Ghouls атакуют российские организации через подрядчиков
Эксперты Kaspersky Cyber Threat Intelligence выявили активность финансово мотивированной хакерской группировки Toy Ghouls, которая с 2025 года проводит кибератаки против российских компаний. Исследование показало, что злоумышленники нацелены преимущественно на предприятия промышленности, производства, строительства и телекоммуникаций.
Специалисты изучили методы работы группировки по модели Unified Kill Chain — цепочке действий, через которые проходит атакующий для достижения своей цели. Такой анализ позволяет компаниям лучше понимать логику атак и выстраивать более эффективную защиту от киберугроз.
По данным аналитиков, злоумышленники чаще всего получают доступ к корпоративным системам через подрядчиков или уязвимые общедоступные сервисы. Многие компании предоставляют доступ к внутренним системам десяткам партнеров, а иногда и более чем 250 контрагентам. Именно через такие «слабые звенья» атакующие нередко проникают в инфраструктуру организаций.
Как отметил ведущий аналитик Kaspersky Cyber Threat Intelligence Александр Кириченко, около 31% российских компаний в 2025 году столкнулись с кибератаками, которые были совершены через подрядчиков. Подобные угрозы уже входят в число наиболее опасных для бизнеса.
Для шифрования данных злоумышленники используют несколько программ-вымогателей. В системах Windows применяются троянцы RedAlert и Lockbit 3.0, а для операционных систем Unix и сетевых хранилищ NAS используется вредоносное ПО Babuk.
Особенностью Toy Ghouls является открытая коммуникация с жертвами. Хакеры оставляют сообщения с требованием выкупа и контактной информацией. При этом тексты часто содержат ироничные или саркастические формулировки и могут адаптироваться под сферу деятельности атакуемой компании.
Исследователи также обнаружили возможную связь Toy Ghouls с другой группировкой — Head Mare, которая ранее уже проводила атаки на российские организации. В некоторых операциях использовались одинаковые инструменты и программное обеспечение, что может указывать на обмен ресурсами или совместную инфраструктуру.
Эксперты отмечают, что современные киберугрозы быстро развиваются. Хакерские группы все чаще делятся инструментами, инфраструктурой и тактиками, что делает их атаки более сложными и трудными для выявления.
Рекомендуем также:
Последние новости Перми уже в твоем телефоне - подписывайся на телеграм-канал «Пермь Новости»
