Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

VasyGrek вернулся с новыми трюками

1 мин
Изображение: recraft Аналитики F6 Threat Intelligence изучили новую волну атак VasyGrek. VasyGrek (Fluffy Wolf) — русскоязычный злоумышленник, атакующий российские компании из различных сфер экономики как минимум с 2016 года. Кибератаки проводились с использованием вредоносного программного обеспечения через рассылки на бухгалтерскую тематику и фишинговые домены, которые, как правило, имитировали сайты финансовых организаций. После публикации исследования F6 VasyGrek отказался от использования ВПО BurnsRAT, но характерные особенности атак оставались прежними: массовые фишинговые рассылки на бухгалтерскую тематику, домены-имитации финорганизаций и доставка различного ВПО на системы жертв. Ключевые изменения: вместо продавца ВПО Mr.Burns VasyGrek стал на постоянной основе пользоваться инструментами с хак-форумов от продавца PureCoder; был также замечен в использовании шифровальщика Pay2Key, активно распространяемого в этом году в формате RaaS, а в ноябре 2025 года VasyGrek изменил цепочк

Изображение: recraft

Аналитики F6 Threat Intelligence изучили новую волну атак VasyGrek.

VasyGrek (Fluffy Wolf) — русскоязычный злоумышленник, атакующий российские компании из различных сфер экономики как минимум с 2016 года. Кибератаки проводились с использованием вредоносного программного обеспечения через рассылки на бухгалтерскую тематику и фишинговые домены, которые, как правило, имитировали сайты финансовых организаций.

После публикации исследования F6 VasyGrek отказался от использования ВПО BurnsRAT, но характерные особенности атак оставались прежними: массовые фишинговые рассылки на бухгалтерскую тематику, домены-имитации финорганизаций и доставка различного ВПО на системы жертв.

Ключевые изменения: вместо продавца ВПО Mr.Burns VasyGrek стал на постоянной основе пользоваться инструментами с хак-форумов от продавца PureCoder; был также замечен в использовании шифровальщика Pay2Key, активно распространяемого в этом году в формате RaaS, а в ноябре 2025 года VasyGrek изменил цепочку атаки, в которой вместо PureCrypter стал использоваться другой загрузчик.

В ноябрьских цепочках атак в качестве вложений писем вместо архивов с исполняемым файлом внутри стали использоваться архивы с файлами VBS и BAT. Для доставки полезной нагрузки PureHVNC вместо привычного PureCrypter использовался другой загрузчик — PowerShell-based stego downloader. Ранее его замечали у различных злоумышленников, в том числе у Sticky Werewolf, но атрибуция здесь однозначно указывает на VasyGrek: формат писем, домен для загрузки ВПО и итоговая нагрузка.

Анализ одного из вредоносных семплов VasyGrek на Malware Detonation Platform F6.

За рассматриваемый период под удар попали компании из промышленности, энергетики, финансов, ИТ, медиа, торговли и других сфер. Цель злоумышленника — доступ к конфиденциальным данным и дальнейшее их использование.

Подробный разбор новой цепочки атаки и графовый анализ инфраструктуры VasyGrek — в блоге F6.

Оригинал публикации на сайте CISOCLUB: "Неугомонный VasyGrek: F6 изучила атаки злоумышленника в августе-ноябре 2025 года".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются