Специалисты F.A.C.C.T. Threat Intelligence обнаружили новую массовую атаку. Целью новой атаки стали российские промышленные предприятия, телекоммуникационные и IT-компании, финансовые и страховые организации.
Кто такие Werewolves
С июня 2023 года группа вымогателей, которая называет себя Werewolves (оборотни), активно атакует российские компании. Хакеры специализируются на вымогательстве денег с помощью программы LockBit3 (Black), собранной на основе появившегося в публичном пространстве билдера.
За расшифровку и приватность данных Werewolves требуют $130 000 — $1 000 000. Обычно группировка использует технику двойного давления на жертву: кроме вымогательства за расшифровку данных хакеры выкладывают на сайте информацию о тех, кто отказался платить выкуп.
В апреле этого года Werewolves проводили массовые почтовые рассылки на тему весеннего призыва и досудебных претензий. И вот теперь они перешли к следующей массовой атаке на российские компании.
Подготовка и реализация атаки
Перед началом атаки злоумышленники зарегистрировали домен kzst45[.]ru, на котором расположили фейковый сайт одного из российских заводов спецтехники. С помощью специальной программы HTTrack Website Copier они скопировали содержимое оригинального сайта kzst45[.]com. Отличие между данными ресурсами только в доменном имени: у оригинального - .com, у фейкого - .ru. И уже от имени сотрудника этого предприятия разослали вредоносные письма.
Письма с темами «Досудебная претензия» и «Рекламация» содержали вредоносные вложения, загружающие Cobalt Strike Beacon. После этого происходило следующее:
- Жертва открывала вложенный документ «Рекламация.doc», который загружал RTF-документ, эксплуатирующий уязвимость CVE-2017-11882.
- На устройство жертвы загружался HTA (HTML Application).
- HTA-файл выполнял powershell-команду, в результате которой распаковывается и запускается шелл-код Cobalt Strike Stager.
- Stager загружал Сobalt Strike Beacon
Конечно же, клиенты F.A.C.C.T. Threat Intelligence оперативно получили оповещение о данной массовой атаке и индикаторы компрометации.
Подробнее с инцидентом вы можете ознакомиться здесь.
Любители привлечь внимание
Эксперт Лаборатории цифровой криминалистики компании F.A.C.C.T. считает хакеров Werewolves людьми, не вышедшими из подросткового возраста. Их степени любования на грани нарциссизма и любви к саморекламе нет равных.
В сравнении с матерыми вымогателями “оборотни” стараются привлечь как можно больше внимания исследователей. Так название их группы явно отсылает к одной известной ИБ-компании, которая обозначала операторов шифровальщиков “волчьими” названиями.
Оставайтесь в курсе актуальных новостей в мире информационной безопасности и подписывайтесь на канал "Кибербез по фактам" в Дзене, а также на наш остросюжетный Telegram-канал.