A Twelve hacktivista csoport orosz szervezeteket vesz célba destruktív kibertámadásokkal
2024 tavaszán a -=TWELVE=- Telegram-csatornán valódi emberek személyes adatait tartalmazó posztok kezdtek megjelenni. Hamarosan blokkolták, mert megsértette a Telegram szolgáltatási feltételeit. A csoport néhány hónapig radar alatt maradt, de egy 2024. június végi támadás vizsgálata során kiderült, hogy az azt végrehajtó csoport a Twelve-el azonos technikákat alkalmazott, és a Twelve-hez kapcsolódó C2 szerverekre támaszkodott. A Kaspersky kutatói ezért biztosak abban, hogy a csoport még mindig aktív, és valószínűleg hamarosan újra fel fog bukkanni.
A csoport 2023 áprilisában alakult az orosz-ukrán konfliktus kapcsán, és azóta támad orosz kormányzati szervezeteket. A fenyegető szereplő az áldozatok adatainak titkosítására, majd törlésére specializálódott, ami komolyan megnehezíti az informatikai környezet helyreállítására irányuló erőfeszítéseket. Ez arra utal, hogy fő céljuk a minél nagyobb károk okozása. A támadások során a csoport célja, hogy elérje a kritikus eszközöket, de ez nem mindig sikerül nekik. Emellett a Twelve érzékeny információkat is kiszivárogtat az áldozatok rendszereiből, és közzéteszi azokat a Telegram-csatornáján.
A Twelve osztozik az infrastruktúrán, a segédprogramokon és a technikákon (TTP-ken) a DARKSTAR ransomware csoporttal, amely korábban Shadow vagy COMET néven volt ismert, ami arra utal, hogy a kettő ugyanahhoz a szindikátushoz vagy tevékenységi csoporthoz tartozik. Ugyanakkor, míg a Twelve akciói egyértelműen hacktivista jellegűek, a DARKSTAR a klasszikus kettős zsarolási módszerhez ragaszkodik.
