Зафиксирована новая волна атак на российские компании от лица «Владимира»

Отмечается, что рассылка коснулась компаний из промышленного сектора, транспортных предприятий, а также организаций в сфере IT. Письма представляли собой рекламу клиента для криптовалют CryptoBOSS для «безопасного и полностью анонимного доступа ко всем валютам». К сообщению прилагалась ссылка на скачивание утилиты, которая на самом деле вела на загрузку шифровальщика РуCrypter.

В F.A.C.C.T. отметили, что рассылка была зафиксирована 9 июля 2023 года. Автоматизированные средства защиты e-mail компании смогли ее преждевременно перехватить и нейтрализовать.

В рамках расследования инцидента специалисты F.A.C.C.T. выяснили, что домен, ведущий на сайт с вирусом РуCrypter, зарегистрирован на пользователя Gmail с юзернеймом Vladimir Stoyanov, который ранее уже был замешан в подобных кибератаках. Например, осенью 2022 года и весной 2023 года Vladimir Stoyanov рассылал по e-mail другой вирус-шифровальщик – Cryptonite. В прошлые разы письма рассылались от имени премьера-министра Михаила Мишустина.