"Лаборатория Касперского": хакеры-шутники Toy Ghouls атаковали российские компании

Российские компании подверглись серии атак новой группы хакеров-вымогателей Toy Ghouls, вооруженных вирусом-шифровальщиком. Об этом "Газете.Ru" сообщили в пресс-службе компании "Лаборатория Касперского". Вредоносная кампания продолжается с 2025 года.

По данным исследования, группировка нацелена исключительно на предприятия в России, включая компании из сфер промышленности, производства, строительства и телекоммуникаций. Доступ к инфраструктуре жертв злоумышленники получают либо через подрядчиков, либо через уязвимые публичные сервисы. После проникновения они оставляют подписи и контактные данные в сообщениях с требованием выкупа.

Как отметил ведущий аналитик Kaspersky Cyber Threat Intelligence Александр Кириченко, значительная часть компаний подключает к внутренним системам десятки и даже сотни контрагентов, что делает цепочки поставок уязвимыми. По данным внутреннего исследовательского центра компании, в 2025 году почти треть российских предприятий – 31% – столкнулись с атаками через подрядчиков, и этот вектор входит в число наиболее опасных угроз.

Для шифрования данных Toy Ghouls применяет разные инструменты в зависимости от платформы: для Windows используются RedAlert и Lockbit 3.0, а для Unix-систем и сетевых хранилищ NAS – Babuk. В вымогательских сообщениях злоумышленники используют ироничные формулировки и адаптируют тексты под специфику отрасли. Так, строительным компаниям они пишут, что жертву "посетил лабубу" и угрожают "снести домик из файлов бульдозером", а промышленным предприятиям устанавливают срок в 48 часов, предупреждая о росте "цены на баррель шифрования".

Исследователи также обнаружили возможные связи Toy Ghouls с другой группировкой – Head Mare. В одной из операций применялось ПО MeshAgent, используемое и этим актором, а также зафиксировано сходство отдельных образцов шифровальщика LockBit.

В "Лаборатории Касперского" сообщили, что ее решения позволяют обнаруживать вредоносную активность в рамках описанных атак.