Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Dire Wolf: анализ шифровальщика и тактики вымогателей

4
3 мин
Директорский отчет выявил появление новой финансово мотивированной группы вымогателей под названием Dire Wolf, которая впервые зафиксирована в мае 2025 года. Группа быстро утвердила своё присутствие за счёт агрессивных атак и использования сайта утечки информации в Dark Web для взаимодействия с жертвами. Ее деятельность нацелена на организации в разных отраслях, с заметной концентрацией в Азии. Dire Wolf — это профессионально организованная криминальная структура, ориентированная исключительно на извлечение прибыли, в отличие от политически мотивированных акторов. Группа использует продвинутые тактики программ-вымогателей, сочетая саботаж операционных возможностей и эффективное шифрование для максимального давления на жертв. «профессиональный подход, ориентированный исключительно на получение прибыли» Операционная модель Dire Wolf включает в себя тщательное планирование и набор мер, направленных на повышение вероятности получения выкупа и снижение шансов успешного восстановления систем
Оглавление

Директорский отчет выявил появление новой финансово мотивированной группы вымогателей под названием Dire Wolf, которая впервые зафиксирована в мае 2025 года. Группа быстро утвердила своё присутствие за счёт агрессивных атак и использования сайта утечки информации в Dark Web для взаимодействия с жертвами. Ее деятельность нацелена на организации в разных отраслях, с заметной концентрацией в Азии.

Характер и мотивация

Dire Wolf — это профессионально организованная криминальная структура, ориентированная исключительно на извлечение прибыли, в отличие от политически мотивированных акторов. Группа использует продвинутые тактики программ-вымогателей, сочетая саботаж операционных возможностей и эффективное шифрование для максимального давления на жертв.

«профессиональный подход, ориентированный исключительно на получение прибыли»

Операционная методология и техники

Операционная модель Dire Wolf включает в себя тщательное планирование и набор мер, направленных на повышение вероятности получения выкупа и снижение шансов успешного восстановления систем:

  • Использование маркера (marker file) и проверки мьютекса — защита от многократного выполнения в одной системе; при обнаружении предыдущих запусков вредоносное ПО может инициировать самоудаление.
  • Отключение параметров восстановления и уничтожение следов: выключение службы журнала событий Windows и удаление shadow copies с помощью встроенных утилит, таких как vssadmin и wevtutil.
  • Широкий «список уничтожения» процессов корпоративных сервисов: завершение процессов серверов баз данных, платформ электронной почты и решений для резервного копирования перед началом шифрования, чтобы помешать восстановлению и обезопасить ход шифрования.
  • Комбинация саботажа и шифрования для усиления давления на организацию и принуждения к оплате выкупа.

Техническая реализация

Технический дизайн вредоносной нагрузки направлен на кросс‑платформенность и усложнение статического анализа:

  • Язык реализации полезной нагрузки — Go, что обеспечивает гибкость и переносимость.
  • Упаковка при помощи UPX для затруднения обнаружения и статического анализа.
  • Криптография: гибридный подход — обмен ключами через Curve25519, шифрование файлов с помощью ChaCha20 и получение ключей через SHA-256. Такой подход позволяет быстро шифровать файлы: полное шифрование для небольших файлов и частичное — для больших.

Пост-шифровочные действия и вымогательство

По завершении шифрования Dire Wolf размещает в каждом затронутом каталоге уведомление о выкупе, где указываются данные для доступа конкретной жертвы к порталу переговоров в Tor, крайние сроки оплаты и угрозы публикации украденных данных. Дополнительно группа использует сайт утечки в Dark Web для давления и коммуникации с жертвами.

Рекомендации по защите

Из-за многообразия применяемых техник организациям рекомендуется применять многоуровневую стратегию защиты:

  • Укрепление контроля доступа и сегментации сети, чтобы ограничить распространение шифровальщика.
  • Резервное копирование с защитой от удаления и отключения: хранение копий оффлайн/в неизменяемых хранилищах.
  • Контроль целостности и мониторинг событий: защита журналов и предотвращение их отключения.
  • Планирование восстановления — проактивное и многоуровневое, с учётом того, что группа способна сделать традиционные методы восстановления неэффективными.
  • Обновление средств детекции, учёт упаковки UPX и специфики полезной нагрузки на Go при настройке EDR/AV.

Вывод

Dire Wolf представляет собой угрозу с высокой степенью организованности и профессионализма, ориентированную на максимизацию прибыли за счёт комбинации саботажа, продвинутого шифрования и методов сокрытия следов. Организациям необходимо пересмотреть подходы к резервному копированию, мониторингу и планам восстановления, чтобы снизить риски, связанные с этой группой.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Dire Wolf: анализ шифровальщика и тактики вымогателей".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются