Аналитики Kaspersky Cyber Threat Intelligence исследовали деятельность группировки шифровальщиков Toy Ghouls, которая с 2025 года проводит атаки против российских организаций. Основными целями становятся предприятия промышленности, производства, строительства и телекоммуникаций.
Эксперты изучили тактики и методы злоумышленников по модели Unified Kill Chain — цепочке действий, показывающей этапы атаки от проникновения до получения контроля над инфраструктурой. Анализ таких операций помогает компаниям лучше понимать действия атакующих и усиливать защиту.
Toy Ghouls нацеливается исключительно на российские организации. Получение доступа происходит через подрядчиков или уязвимые внешние сервисы. После проникновения злоумышленники разворачивают инструменты внутри инфраструктуры и запускают шифрование данных.
По словам ведущего аналитика Kaspersky Cyber Threat Intelligence Александра Кириченко, атаки через партнёров становятся всё более распространёнными. Многие компании предоставляют доступ к внутренним системам десяткам контрагентов, иногда их число превышает 250. Более слабая защита таких организаций делает их удобной точкой входа для злоумышленников.
По данным исследовательского центра Kaspersky, около 31% российских компаний в 2025 году столкнулись с атаками через подрядчиков. Подобные риски бизнес относит к числу наиболее серьёзных.
Для шифрования данных Toy Ghouls применяет несколько программ-вымогателей. В системах Windows используются RedAlert и LockBit 3.0. Для Unix-систем и сетевых хранилищ NAS применяется Babuk.
Группировка также известна необычными сообщениями с требованиями выкупа. В них злоумышленники используют ироничные формулировки и адаптируют текст под отрасль жертвы. Например, строительным компаниям пишут, что их «посетил лабубу», а промышленным предприятиям дают 48 часов на связь, угрожая увеличить цену расшифровки.
Исследователи Kaspersky также обнаружили возможные связи Toy Ghouls с группировкой Head Mare. В одной из операций использовалось программное обеспечение MeshAgent, которое ранее применялось этой группой. Кроме того, обнаружено сходство некоторых образцов LockBit.