Группировка Bloody Wolf атаковала более 400 организаций в России и СНГ

Специалисты BI.ZONE Threat Intelligence зафиксировали новую атаку киберпреступной группировки Bloody Wolf в декабре 2024 года. В результате этой кампании были скомпрометированы более 400 организаций, представляющих различные сектора, включая финансовый, ритейл, информационные технологии, транспорт и логистику.

Атаки проходили под видом официальных уведомлений от государственных органов, что сделало фишинговые письма более убедительными благодаря использованию персонализированных данных жертв. Группировка использовала легитимные инструменты, такие как NetSupport, что усложняло их обнаружение традиционными средствами безопасности.

По словам Олега Скулкина, руководителя BI.ZONE Threat Intelligence, для повышения эффективности атак Bloody Wolf перешла к использованию NetSupport вместо ранее использовавшегося вредоносного ПО STRRAT. «Подобный фишинг встречается лишь в 10% случаев, и, как правило, киберпреступники ориентируются на массовость», - отметил Скулкин.

Файлы, прикрепленные к письмам, содержали не только вредоносные ссылки, но и инструкции по установке интерпретатора Java, необходимого для работы злоумышленников. Это создавало дополнительные риски для безопасности, учитывая, что NetSupport широко применяется в образовательных и корпоративных учреждениях, хотя и уступает по популярности некоторым другим решениям.

Эта атака не стала первой для Bloody Wolf; в 2023 году группировка уже проводила фишинговые атаки на организации в Казахстане, маскируя свои действия под письма от регуляторов.

Эксперты BI.ZONE обращают внимание на необходимость использования современных решений для киберзащиты, способных выявлять и реагировать на атаки на ранних стадиях, а также на важность информации, предоставляемой порталами киберразведки.

]]>