Según Hacker News, desde su aparición en abril de 2023, la operación hacktivista “Doce” ha llevado a cabo ciberataques devastadores contra Rusia utilizando herramientas disponibles públicamente.
Según el informe de Kaspersky, después de obtener acceso inicial abusando de cuentas locales o de dominio, Twelve aprovecha los protocolos de escritorio remoto para facilitar una mayor infiltración de la infraestructura, así como malware como Cobalt Strike, Chisel, robar credenciales, mapear redes y escalar privilegios usando herramientas como Mimikatz, Advanced IP Scanner y PsExec. Los ataques del grupo de piratas informáticos incluyeron la entrega de múltiples shells web con la capacidad de ejecutar comandos arbitrarios, transferencias de archivos y entrega de correo electrónico, así como numerosos scripts de PowerShell que les permitieron modificar listas de control de acceso y finalizar procesos del software de seguridad de Sophos. la distribución de Luego lanzó limpiadores como la variante de ransomware LockBit 3.0 y el malware Shamoon, cada uno de los cuales eliminó procesos y sobrescribió el contenido de los archivos. Un análisis más detallado de este ataque encontró similitudes con el grupo de ransomware DARKSTAR, también conocido como Shadow o Comet. “…Si bien las acciones de Twelve son claramente de naturaleza hacktivista, Darkstar sigue un patrón clásico de doble extorsión”, agregaron los investigadores.
https://www.scmagazine.com/brief/significant-hacktivist-attacks-launched-against-russia
