С 2025 года группировка Toy Ghouls целенаправленно атакует предприятия в России. Разбираемся, кто это такие, как работают, кого выбирают в качестве жертв, и, самое главное, как от них защититься.
Кто такие Toy Ghouls
Группировку Toy Ghouls не интересуют данные сами по себе. Их цель – деньги. Главный инструмент в арсенале Toy Ghouls – шифровальщики.
Есть несколько особенностей, которые отличают их от других группировок:
- Они атакуют только российские компании – из сфер промышленности, производства, строительства и телекоммуникаций.
- Они не прячутся. Наоборот, оставляют в сообщениях с требованием выкупа свои контакты, подпись, даже своеобразный фирменный стиль.
- Они используют иронию и персонализацию.
Как они проникают в системы
Toy Ghouls редко атакуют напрямую. Вместо этого они ищут слабое звено – подрядчиков, партнеров, контрагентов, у которых есть доступ к внутренним системам целевой компании, чтобы попасть туда через их легитимные каналы.
| По данным Лаборатории Касперского, в 2025 году 31% российских предприятий столкнулись с атаками именно через подрядчиков. |
Допустим, у вашей компании 100 контрагентов. У 99 из них – отличная защита. А у одного – устаревшее ПО, слабый пароль, нет двухфакторной аутентификации. Атакующие компрометируют этого контрагента и используют существующие интеграции и доступы к API, чтобы переместиться в вашу сеть. Это явление называется Supply Chain Attack – атака на цепочку поставок.
Что происходит после проникновения
Дальше все идет по отработанному сценарию:
| Закрепление в системе | Злоумышленники используют легитимные инструменты администрирования (например, MeshAgent, AnyDesk или встроенные утилиты PowerShell), чтобы остаться незамеченными. |
| Сбор учетных данных | С помощью инструментов вроде Mimikatz преступники выгружают пароли из оперативной памяти, получая доступ к учетным записям сотрудников и привилегированным аккаунтам домена. |
| Разведка внутри сети | Хакеры сканируют сеть, ищут, где хранятся самые ценные данные – бухгалтерия, проекты, клиентские базы, чертежи. |
| Шифрование | Здесь в дело вступают специализированные шифровальщики. Для Windows-серверов и рабочих станций чаще всего используются модификации RedAlert и LockBit 3.0. Для Linux-серверов и сетевых хранилищ (NAS) – Babuk. |
| Вымогательство | На экранах появляется персонализированное сообщение с требованием выкупа и контактом для связи. Часто с дедлайном и угрозой удвоения суммы. |
Связи с другими группировками
Исследователи обнаружили возможные связи Toy Ghouls с другой активной в России группировкой – Head Mare. У них общие инструменты, похожие образцы шифровальщиков, схожие тактики.
Злоумышленники все чаще объединяются: делятся инфраструктурой, обмениваются наработками, кооперируются, действуя по модели Ransomware-as-a-Service (RaaS). Это делает их опаснее, а их атаки – сложнее для расследования.
Три уровня защиты
Хорошая новость заключается в том, что эффективная защита от киберпреступников возможна, но только при условии системного подхода. Чтобы создать надежный периметр безопасности, необходимо последовательно реализовать три уровня защиты.
Уровень 1. Контроль внешних доступов и аудит подрядчиков
Безопасность должна начинаться еще на этапе заключения соглашений: требования по информационной безопасности нужно обязательно включать в контракты. Также важно проводить регулярные аудиты партнеров и строго ограничивать доступ контрагентов только теми ресурсами, которые им необходимы для работы, следуя принципу наименьших привилегий.
Уровень 2. Техническая гигиена и защита инфраструктуры
Здесь важно использовать двухфакторную аутентификацию для всех внешних подключений. Нельзя забывать о регулярном обновлении программного обеспечения, поскольку многие атаки стартуют с эксплуатации известных, но незакрытых уязвимостей. Также необходимо создавать резервные копии данных, до которых не смогут добраться злоумышленники.
Уровень 3. Киберграмотность сотрудников и управление инцидентами
Сотрудников следует регулярно обучать основам цифровой грамотности, разъясняя риски фишинга, социальной инженерии и правила работы с подозрительными письмами. Для повышения осведомленности рекомендуется подключиться к сервисам Threat Intelligence, чтобы получать актуальные данные о новых тактиках и индикаторах атак.
У компании должен быть готовый план реагирования на инциденты, где четко прописано, кто, что и в какой последовательности делает при обнаружении угрозы, например, шифровальщика.
Что делать при подозрении на атаку
- Изолировать зараженные системы.
- Не удалять файлы и не перезагружать системы без консультации с экспертами.
- Проверить резервные копии.
- Уведомить ИБ-команду и, при необходимости, регуляторов.
- Не вступать в переговоры с преступниками в одиночку.
Читайте также
читайте наш блог о всем самом интересном,
расскажем и покажем кухню легиона изнутри
'%3E%3Cellipse cx='68.2542' cy='381.143' rx='68.2542' ry='381.143' transform='matrix(0.770022 -0.638017 -0.401676 -0.915782 1236.79 669.182)' fill='%23FF2B5F' fill-opacity='0.5'/%3E%3C/g%3E%3Cg filter='url(%23filter1_f_3008_1418)'%3E%3Cellipse cx='68.2542' cy='188.98' rx='68.2542' ry='188.98' transform='matrix(0.770022 -0.638017 -0.401676 -0.915782 1048.82 669.182)' fill='%23FF7032' fill-opacity='0.5'/%3E%3C/g%3E%3Cg filter='url(%23filter2_f_3008_1418)'%3E%3Cellipse cx='120.86' cy='187.481' rx='120.86' ry='187.481' transform='matrix(0.770022 -0.638017 -0.401676 -0.915782 1109.56 773)' fill='%23FF2D31' fill-opacity='0.5'/%3E%3C/g%3E%3Cg filter='url(%23filter3_f_3008_1418)'%3E%3Cellipse cx='120.86' cy='187.481' rx='120.86' ry='187.481' transform='matrix(0.770022 -0.638017 -0.401676 -0.915782 107.614 260.605)' fill='%23FF2D31' fill-opacity='0.5'/%3E%3C/g%3E%3Cdefs%3E%3Cfilter id='filter0_f_3008_1418' x='806.561' y='-242.975' width='659.378' height='1039.13' filterUnits='userSpaceOnUse' color-interpolation-filters='sRGB'%3E%3CfeFlood flood-opacity='0' result='BackgroundImageFix'/%3E%3CfeBlend mode='normal' in='SourceGraphic' in2='BackgroundImageFix' result='shape'/%3E%3CfeGaussianBlur stdDeviation='83.8894' result='effect1_foregroundBlur_3008_1418'/%3E%3C/filter%3E%3Cfilter id='filter1_f_3008_1418' x='765.351' y='106.29' width='520.23' height='692.56' filterUnits='userSpaceOnUse' color-interpolation-filters='sRGB'%3E%3CfeFlood flood-opacity='0' result='BackgroundImageFix'/%3E%3CfeBlend mode='normal' in='SourceGraphic' in2='BackgroundImageFix' result='shape'/%3E%3CfeGaussianBlur stdDeviation='83.8894' result='effect1_foregroundBlur_3008_1418'/%3E%3C/filter%3E%3Cfilter id='filter2_f_3008_1418' x='804.651' y='132.995' width='645.326' height='782.404' filterUnits='userSpaceOnUse' color-interpolation-filters='sRGB'%3E%3CfeFlood flood-opacity='0' result='BackgroundImageFix'/%3E%3CfeBlend mode='normal' in='SourceGraphic' in2='BackgroundImageFix' result='shape'/%3E%3CfeGaussianBlur stdDeviation='101.471' result='effect1_foregroundBlur_3008_1418'/%3E%3C/filter%3E%3Cfilter id='filter3_f_3008_1418' x='-197.291' y='-379.399' width='645.326' height='782.404' filterUnits='userSpaceOnUse' color-interpolation-filters='sRGB'%3E%3CfeFlood flood-opacity='0' result='BackgroundImageFix'/%3E%3CfeBlend mode='normal' in='SourceGraphic' in2='BackgroundImageFix' result='shape'/%3E%3CfeGaussianBlur stdDeviation='101.471' result='effect1_foregroundBlur_3008_1418'/%3E%3C/filter%3E%3C/defs%3E%3C/svg%3E%0A)
Что мешает руководителю по ИБ быть услышанным на уровне бизнеса?
Дело не в качестве ваших аргументов, а в том, что руководитель компании мыслит в других категориях.
Киберпреступность в эпоху тотальной конвергенции. Что происходит?
Хакеры-одиночки остались в прошлом. Киберпреступность сегодня – это высокомаржинальная индустрия с автоматизированными процессами.
Почему традиционная защита бессильна против ИИ-атак
Microsoft опубликовала отчет, согласно которому искусственный интеллект перестал быть экспериментальной игрушкой в руках злоумышленников.
Как избежать штрафов ФСТЭК в 2026 году
Рассказываем, как не ошибиться с выбором в условиях ужесточения требований к информационной безопасности.
Стали ли пароли лучше за последние 10 лет?
Часто мы выбираем удобство в ущерб безопасности, и это играет на руку хакерам.