Согласно сообщению АО "Будущее" (F6), хакеры из группировки, известной как room155, чаще всего атакуют компании из отраслей финансов (на них приходится чуть больше половины всех атак, 51%), транспорта (16%) и ритейла (10%). На оставшиеся 24% приходятся компании из таких направлений как промышленность (7%), логистика (7%), ИТ (2%), туризм (2%), медицина (2%), строительство и ЖКХ (3%).

"Room155 является финансово-мотивированной группой, действующей с 2022 г. Нашим специалистам удалось установить, что в атаках группа использует Revenge RAT, XWorm, Stealerium, DarkTrack, DCRat, AveMaria RAT, VenomRAT. Конечной целью атакующих является шифрование системы жертвы посредством LockBit 3.0 с последующим требованием выкупа за расшифровку. Долгое использование одной и той же инфраструктуры говорит о том, что злоумышленники успешны в проведении атак, и у них не возникает потребности в смене атаки", - говорится в сообщении F6.

Представитель департамента киберразведки (Threat Intelligence) F6 рассказал, что злоумышленники из room155 и похожих на них групп-вымогателей часто используют фишинговые письма в качестве первоначального вектора атаки. По его словам, во II квартале 2025 г. эксперты компании наблюдали атаки от групп DarkStar, Bearly, Masque, которые использовали аналогичный room155 шифровальщик LockBit 3.0. Однако представитель F6 отметил, что по совокупности тактик, техник и процедур каждая группа уникальна.

Room155 попала в поле зрения экспертов группы анализа ВПО центра исследования киберугроз Solar 4RAYS группы компаний "Солар". Один из экспертов, Антон Каргин, рассказал, что они обнаруживали фишинговые письма от злоумышленников в конце 2024 г. и начале 2025 г. По его словам, в каждом из писем был архив с исполняемым файлом RevengeRAT.

"Из уникальных техник у room155 можно выделить использование омоглифов в названиях вредоносных файлов, использование легитимных ресурсов для публикации серверов управления и тот факт, что группировка оставалась незамеченной более двух лет. "Незамеченность" здесь относится к атрибутам, так как сами фишинговые письма и вредоносные файлы обнаруживаются средствами защиты. Использование MaaS (платных) и open-source инструментов усложняет отнесение атак к той или иной группировке", - сказал Антон Каргин.

По словам технического руководителя центра мониторинга и реагирования на кибератаки RED Security SOC ООО "Ред Секьюрити" Ильназа Гатауллина, группировка room155 рассылает письма с вредоносными архивами, в которых содержатся как вредоносные программы, так и легитимные документы-приманки, часто скачанные с известных российских финансовых сайтов. Он отметил, что такими методами пользуются многие группы.

"Группировка room155 преимущественно атакует финансовые организации. Причина простая - финансовый мотив, который дает им возможности дальше развивать атаки. Точных данных о суммах, заработанных именно группировкой room155, в открытых источниках нет. Однако, учитывая нацеленность на финансовый сектор, суммы выкупа будут исчисляться десятками, а то и сотнями миллионов", - рассказал Ильназ Гатауллин.

Представитель департамента киберразведки F6 отметил, что злоумышленники из группы room155 в "работе" прилагают минимум усилий, идут по пути наименьшего сопротивления и не пытаются избежать обнаружения. Признаки, указывающие на это: частота и массовость рассылок, использование множества общедоступных вредоносных программ, малое количество зашифрованных устройств в ряде жертв, а также длительное применение одних и тех же управляющих серверов, повторяющихся тем сообщений и вложений и другие.

"Речь скорее о том, что целевые организации недостаточно защищены и уязвимы к такому роду атак. В противном случае мы не наблюдали бы на протяжении нескольких лет практически неизменной активности этой группировки", - отметил представитель F6.

"Группировка room155 — это скорее не гении, а высокоорганизованные и технически грамотные преступники, использующие проверенные и эффективные методы. Их инструменты - это не уникальные разработки, а комбинация известных техник, адаптированных под конкретные цели и условия. Гениальность в киберпреступности - это скорее миф: чаще всего успех достигается за счет дисциплины, организации и использования уязвимостей в человеческом факторе, а не за счет сверхъестественных технических навыков", - заключил Ильназ Гатауллин.