Шифровальщики Toy Ghouls атакуют российские организации через подрядчиков

Аналитики Kaspersky Cyber Threat Intelligence изучили активность финансово мотивированной группировки шифровальщиков Toy Ghouls, которая с 2025 года проводит кибератаки против российских организаций.

В исследовании описаны тактики, техники и процедуры Toy Ghouls по модели Unified Kill Chain — это цепочка, которая показывает, какие этапы должен пройти злоумышленник, чтобы достигнуть своей цели. Понимание действий атакующих помогает организациям разрабатывать более надежные стратегии защиты и эффективнее реагировать на киберугрозы.

Что известно о Toy Ghouls. Злоумышленники нацелены исключительно на российские предприятия из таких сфер, как промышленность, производство, строительство, телекоммуникации. Группировка открыто заявляет о себе, оставляя подпись и контактную информацию жертвам в сообщениях с требованием выкупа. Атакующие получают доступ либо через подрядчиков, либо через общедоступные сервисы.

«У многих компаний к внутренним системам подключены десятки контрагентов, а в некоторых случаях более 250. Злоумышленники все чаще получают доступ к организациям не напрямую, а через более слабое звено — их доверенных партнеров, которые могут быть менее защищены. По данным нашего внутреннего исследовательского центра, почти треть предприятий в России — 31% — столкнулись с атаками через подрядчиков в 2025 году, и эту угрозу компании включают в десятку самых опасных», — комментирует Александр Кириченко, ведущий аналитик Kaspersky Cyber Threat Intelligence.

«Быстрая компьютерная помощь онлайн 24/7». Для шифрования файлов Toy Ghouls использует три программы-вымогателя: в случае с Windows — троянцы RedAlert и Lockbit 3.0, а для операционной системы Unix и сетевого хранилища данных NAS применяет Babuk.

В сообщениях с требованием выкупа злоумышленники используют сложные речевые конструкции и едкие шутки. Атакующие могут адаптировать текст в зависимости от специфики организации. Например, в случае со строительной сферой сообщают, что жертву «посетил лабубу» и предупреждают, что, если компания решит не платить, ее «домик из файлов снесут бульдозером». Промышленным предприятиям объясняют, что у них есть 48 часов, чтобы выйти на связь, поскольку «потом цена на баррель шифрования взлетит в два раза». В другом сообщении злоумышленники заявляют, что решили «испечь свежие булочки из файлов». Иногда они просто обещают «быструю компьютерную помощь онлайн 24/7», предлагая жертве обратиться за ней по указанному адресу электронной почты.

Следы HeadMare. Исследователи также обнаружили возможные связи Toy Ghouls с другой группировкой, которая активно атакует Россию, — Head Mare. Например, в одной из операций применялось ПО MeshAgent, которое также входит в арсенал Head Mare. Зафиксировано сходство отдельных образцов шифровальщика LockBit, которые замечены в операциях обоих акторов.

«Киберугрозы стремительно эволюционируют. Мы наблюдаем, как все больше атакующих объединяют ресурсы, совместно используют инфраструктуру и обмениваются инструментами и тактиками, что позволяет им повышать уровень технической подготовки и действовать более скрытно. В России подобные киберкампании уже не являются чем-то необычным и значительно усложняют атрибуцию и исследования, поскольку становится сложно определить методы отдельных группировок, — объясняет Александр Кириченко. — В таких условиях критически важно регулярно изучать актуальный ландшафт угроз с учетом специфики самой организации, а также ее отрасли и региона — опираясь на данные киберразведки. Это позволяет выстраивать превентивную защиту и выявлять большинство угроз до того, как они нанесут ущерб».

Решения «Лаборатории Касперского» обнаруживают вредоносную активность в рамках описанных атак и детектируют ее как: Backdoor.Script.1CShell.*; not-a-virus:HEUR:NetTool.Win32.NetScan.gen; Trojan-PSW.Win64.Mimikatz.*; Net-Worm.Win32.Kolab.*; HackTool.Script.1CShell.*; HEUR:Trojan-Ransom.Linux.Babugo.gen; not-a-virus:HEUR:NetTool.Multi.Localtonet.*; Trojan-Ransom.Win32.Lockbit.*; Trojan-Ransom.Win64.RedAlert.*; not-a-virus:HEUR:RemoteAdmin.Win32.MeshAgent.*

Для защиты от подобных атак «Лаборатория Касперского» рекомендует:

• предоставлять ИБ-специалистам возможность оставаться в курсе актуальных техник, тактик и процедур злоумышленников через доступ к данным о киберугрозах с помощью решений класса Threat Intelligence;
• использовать комплексные продукты, которые позволят выстроить гибкую систему безопасности, включая обеспечение надежной защиты рабочих мест, сбор и анализ данных о событиях безопасности со всех источников в инфраструктуре, выявление и остановку атак любой сложности на ранних стадиях и обучение сотрудников базовым навыкам цифровой грамотности;
• создавать резервные офлайн-копии данных, в которые атакующие не смогут внести изменения. Важно убедиться, что сотрудники компании могут быстро получить к ним доступ при необходимости либо в случае инцидента;
• регулярно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть;
• добавлять в контракты требования к соблюдению правил информационной безопасности: проводить регулярные аудиты, следить за соблюдением подрядчиками установленных в вашей организации правил ИБ и протоколов оповещения о киберинцидентах.