Специалисты Kaspersky Cyber Threat Intelligence выявили деятельность хакерской группы Toy Ghouls, начавшей целевые атаки на российские компании начиная с 2025 года. В зону их интереса вошли промышленные предприятия, строительные организации, телекоммуникационные компании, а также производители различного оборудования и продукции.
Для анализа методов и тактики, используемых группой Toy Ghouls, эксперты применили модель Unified Kill Chain. Это позволило глубже понять логику их действий, а также разработать эффективные меры по предотвращению и нейтрализации потенциальных угроз.
Исследование выявило, что злоумышленники чаще всего проникают в корпоративные сети через третьих лиц, таких как подрядчики, или через уязвимости в общедоступных сервисах. Многие компании предоставляют доступ к своим информационным системам десяткам партнёров или даже более чем 250 контрагентам, что значительно увеличивает риск компрометации данных.
По данным ведущего аналитика Kaspersky Cyber Threat Intelligence Александра Кириченко, в 2025 году около 31% российских компаний подверглись кибератакам, осуществляемым через подрядчиков. Это представляет серьёзную угрозу для экономической безопасности и стабильности бизнеса.
Для шифрования данных злоумышленники используют различные программы-вымогатели. В системах на базе операционной системы Windows они применяют трояны RedAlert и Lockbit 3.0, в то время как в Unix-системах и сетевых хранилищах NAS (Network-Attached Storage) используется Babuk.
Отличительной чертой группы Toy Ghouls является открытое взаимодействие с жертвами. В своих сообщениях они требуют выкуп, предоставляя контактные данные и используя специфическую терминологию, адаптированную под сферу деятельности атакуемой компании.
Дополнительно исследователи обнаружили возможную связь Toy Ghouls с другой хакерской группой — Head Mare. Использование аналогичных инструментов и программного обеспечения может свидетельствовать об обмене ресурсами или совместном использовании инфраструктуры между этими группами.
Эксперты подчёркивают, что современные киберугрозы характеризуются высокой динамикой развития. Хакерские группы всё чаще обмениваются инструментами, инфраструктурой и тактическими подходами, что существенно усложняет процесс их обнаружения и нейтрализации.