Российский промышленный, строительный и телекоммуникационный сектора с начала 2025 года находятся под прицелом профильной хакерской группировки, получившей название Toy Ghouls. Злоумышленники специализируются на развертывании программ-вымогателей, используя проверенный арсенал инструментов. Для компрометации Windows-инфраструктуры применяются шифровальщики RedAlert и Lockbit 3.0, в то время как для атак на Unix-системы хакеры задействуют модификации Babuk. Характерной чертой Toy Ghouls стала кастомизация текстов с требованиями выкупа: атакующие адаптируют угрозы под специфику бизнеса жертвы. Если коротко, строительные компании получают сообщения с метафорами о «сносе файлового домика бульдозером», что указывает на предварительную разведку и попытку оказать психологическое давление.
Механизмы проникновения и риски цепочек поставок
Ключевым вектором атак для Toy Ghouls стал захват доступа через контрагентов и уязвимые публичные сервисы. Согласно актуальной статистике, почти каждая третья компания в России за последний год столкнулась с инцидентами, инициированными через инфраструктуру подрядчиков. Проблема кроется в архитектурной сложности современных предприятий: к внутренним сетям зачастую подключены десятки сторонних организаций для обслуживания или обмена данными. На практике это означает, что даже при высоком уровне внутренней безопасности компания остается уязвимой, если защита одного из ее партнеров окажется недостаточно надежной. Хакеры эффективно эксплуатируют эти слабые звенья в цепочке поставок, используя их как плацдарм для дальнейшего продвижения вглубь целевой сети.
Технические связи и атрибуция
Анализ используемого инструментария позволил исследователям выявить потенциальную связь между Toy Ghouls и известной группировкой Head Mare. Пересечения обнаружились в области применяемого программного обеспечения: обе группы задействуют MeshAgent для управления скомпрометированными узлами и оперируют схожими образцами шифровальщика LockBit. Несмотря на активность угрозы, технические специалисты отмечают наличие эффективных методов детектирования. Современные защитные решения способны распознавать паттерны вредоносной активности, характерные для описанных выше атак, что позволяет блокировать действия шифровальщиков на ранних этапах проникновения.