Toy Ghouls: вымогатели, использующие LockBit, RedAlert и Babuk

Коротко: с января 2025 года группа вымогателей Toy Ghouls, также известная как Labooboo, целенаправленно атакует российские организации. Акторы финансово мотивированы, не разрабатывают собственных эксплойтов, а сочетают общедоступные утилиты, утечки кода и семейства известных ransomware для масштабного шифрования данных.

Кто такие Toy Ghouls и их цель

Toy Ghouls — коммерчески ориентированная киберпреступная группа, основная цель которой — получение выкупа через шифрование данных жертв. Группа действует преимущественно против российских организаций и демонстрирует способность быстро модифицировать и комбинировать общедоступные инструменты и известные ransomware-семейства для достижения своих целей.

Методы первоначального доступа и перемещения по сети

• Часто получают доступ через компрометированную инфраструктуру подрядчиков или через государственные сервисы.
• Широко используют RDP (Протокол удаленного рабочего стола), применяя действительные локальные и доменные учётные записи для дальнейшего движения по сети.
• Эксплуатация небезопасных инсталляций 1С с помощью 1C-Shell позволяет выполнять команды с системными привилегиями.

Инструменты закрепления и поддержания присутствия

• Для создания и модификации служб Windows используют NSSM (Non-Sucking Service Manager).
• Для автоматизации вредоносных действий применяют запланированные задачи: создание SSH-туннелей, запуск управления виртуальными машинами и др.
• Для маскировки следов удаляют файлы сеансов, очищают журналы событий Windows и удаляют промежуточные инсталляционные файлы, чтобы усложнить форензику.

Командование и контроль (C2)

Для организации C2 Toy Ghouls используют общеизвестные утилиты и методы развертывания полезной нагрузки:

• Доставляют утилиты, в том числе OpenSSH, через msiexec.exe, certutil.exe или скрипты PowerShell, которые извлекают удалённые payload’ы.
• Поддерживают связь через SSH-туннели и перенаправление трафика, сохраняя устойчивое подключение к командным серверам.

Разведка и сбор учётных данных

• Сканирование сети выполняется с помощью SoftPerfect, fscan и других сканеров для выявления уязвимостей во внутренней сети.
• Получение учётных данных: дампы памяти lsass.exe и инструменты вроде mimikatz для сбора паролей и сессионной информации.

Семейства программ-вымогателей и особенности шифрования

В операциях Toy Ghouls используются несколько известных семейств ransomware:

• RedAlert — особенность: генерация уникального ключа для каждого файла с последующим шифрованием этим ключом; ключи затем защищаются встроенным публичным сеансовым ключом NTRU.
• LockBit — использует Salsa20 для шифрования; дополнительно удаляет shadow copies, чтобы усложнить восстановление данных без ключа.
• Babuk — применяется преимущественно в Linux- и ESXi-средах.

Поведенческие особенности и тактика вымогательства

Записки с требованием выкупа от Toy Ghouls выделяются фирменным, часто юмористическим стилем. В них обычно:

• присутствует требование связаться с группой в определённый срок для переговоров об оплате;
• упоминается угроза удвоения суммы выкупа при несоблюдении сроков;
• заметно хорошее владение русским языком у нападавших, что свидетельствует о локализованной или русскоязычной оперативной команде.

«Требования зачастую сочетают отраслевой юмор и строгие дедлайны — это часть их психологической тактики давления на жертву.»

Пересечения с другими группами

Аналитики отмечают пересечения инфраструктуры и отдельных инструментов Toy Ghouls с хактивистской группой Head Mare. Это указывает на возможные обмены ресурсами или общие происхождение/практики среди акторов, но не исключает и независимую координацию.

Что это значит для организаций

Поведение Toy Ghouls демонстрирует несколько устоявшихся трендов в современном ландшафте угроз:

• переход от разработки собственных exploit’ов к агрегации и модификации общедоступных инструментов и утечек кода;
• сильный упор на оперативное использование и автоматизацию (запланированные задачи, NSSM, SSH-туннели);
• многоуровневое шифрование и тактики, затрудняющие восстановление данных без выкупа.

Рекомендации по защите (кратко)

• Ограничить доступ по RDP: использовать VPN, Bastion-хосты и многофакторную аутентификацию.
• Проверить и защитить инсталляции 1С; закрыть или изолировать небезопасные конфигурации, мониторить загрузки 1C-Shell.
• Блокировать или отслеживать подозрительную активность msiexec.exe, certutil.exe и вызовы PowerShell для загрузки удалённых payload’ов.
• Мониторить создание и изменение служб (включая использование NSSM) и запланированные задачи.
• Защитить процессы и память от дампов lsass.exe, ограничить привилегии и внедрить EDR/запрет на выгрузку памяти критичных процессов.
• Организовать оффлайн-резервное копирование и сохранить копии вне досягаемости сети атакующих; не полагаться только на shadow copies.
• Вести аудит сетевого сканирования и необычной активности (SoftPerfect, fscan и т.п.), сегментировать сеть и ограничивать lateral movement.

Вывод

Toy Ghouls (Labooboo) — пример современной вымогательской группы, использующей комбинацию доступных инструментов, известных семейств ransomware и методик сокрытия следов. Их активность подчёркивает необходимость комплексной защиты: от контроля доступа и мониторинга до готовности к инцидентам и надёжных резервных копий. Организациям, действующим в зоне повышенного интереса злоумышленников, рекомендуется оперативно внедрять описанные меры и отслеживать индикаторы компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.