Как защититься от атак группировки Vortex Werewolf: практические шаги для организаций

В последнее время активность хакерской группировки Vortex Werewolf (также известной как SkyCloak) вызывает серьёзную озабоченность у специалистов по информационной безопасности. Злоумышленники атакуют оборонные предприятия и госорганизации, используя изощрённые методы фишинга и вредоносного ПО. Разберёмся, как защитить компанию от подобных угроз.

Кто такие Vortex Werewolf и как они атакуют?

Группировка активна как минимум с декабря 2024 года. В конце 2025 — начале 2026 года она провела серию атак на российские и белорусские оборонные предприятия и госорганы (источник).

Схема атаки выглядит так:

1. Жертве присылают фишинговую ссылку, замаскированную под файловое хранилище Telegram.
2. По ссылке предлагают скачать важные рабочие документы.
3. При переходе запускается процесс «восстановления доступа» к аккаунту Telegram — у пользователя запрашивают код подтверждения, а при включённой двухфакторной аутентификации — ещё и облачный пароль.
4. После ввода данных на устройство загружается ZIP‑архив с вредоносным файлом, замаскированным под PDF‑документ.
5. При открытии «документа» запускается скрипт, дающий злоумышленникам удалённый доступ к системе.
6. Для скрытого управления устройством хакеры разворачивают OpenSSH и Tor, чтобы скрыть соединение.

Цель атак — получение конфиденциальной информации: переписки в рабочих чатах, сканов документов, логинов и паролей.

Как защитить организацию: пошаговая инструкция

Чтобы противостоять подобным атакам, нужен комплексный подход. Разделим меры защиты на несколько блоков.

1. Усиливаем защиту учётных записей

• Включите двухфакторную аутентификацию (2FA) для всех критически важных аккаунтов. Используйте облачные пароли, аутентификаторы (Google Authenticator, Яндекс-ID) или аппаратные токены;
• Создавайте сложные пароли длиной не менее 12 символов, включающие буквы разного регистра, цифры и спецсимволы. Обновляйте их каждые 90 дней;
• Ограничьте доступ к учётным записям: предоставляйте права только тем сотрудникам, кому они действительно нужны. Регулярно проверяйте активные сессии и завершайте подозрительные.

2. Учимся распознавать фишинг

• Обучите сотрудников отличать фишинговые письма от легитимных. Обращайте внимание на:
• подозрительных отправителей;
• орфографические ошибки;
• срочность и давление («срочно подтвердите доступ!»);
  просьбы предоставить личные данные.
• Настройте фильтры электронной почты для автоматической блокировки подозрительных писем;
• Запретите переход по ссылкам из ненадёжных источников. Если ссылка вызывает сомнения — проверьте её через специальные сервисы или свяжитесь с отправителем альтернативным способом.

3. Защищаемся от вредоносных PDF‑файлов

• Отключите JavaScript в программах для чтения PDF — это снизит риск выполнения вредоносного кода;
• Используйте надёжные программы для чтения PDF (например, Adobe Acrobat Reader) и регулярно обновляйте их;
• Настройте антивирус на сканирование PDF‑файлов перед открытием;
• Не разрешайте выполнение не‑PDF‑файлов через PDF‑ридеры.

4. Укрепляем сетевую безопасность

• Сегментируйте сеть, чтобы ограничить доступ между её сегментами. Используйте межсетевые экраны и модель нулевого доверия (zero trust);
• Отключите неиспользуемые порты и протоколы. Оставьте открытыми только необходимые (например, 443 для веб‑сервисов);
• Используйте VPN для удалённого доступа сотрудников с обязательной двухфакторной аутентификацией;
• Ограничьте доступ к административным панелям с помощью белых списков IP‑адресов.

5. Обновляем ПО и управляем уязвимостями

• Регулярно обновляйте всё ПО: ОС, приложения, антивирусы, программы для чтения PDF;
• Проводите аудит уязвимостей с помощью сканеров и устраняйте критические проблемы в первую очередь;
• Периодически проводите пентесты для выявления сложных уязвимостей.

6. Следим и реагируем на инциденты

• Настройте непрерывный мониторинг сети с помощью SIEM‑платформ;
• Создайте план реагирования на инциденты: определите шаги для быстрого обнаружения, изоляции и устранения угрозы;
• Настройте оповещения о подозрительной активности: попытках брутфорса, несанкционированном доступе, необычных сетевых потоках.

7. Формируем культуру информационной безопасности

• Проводите регулярные тренинги по цифровой гигиене для всех сотрудников;
• Поощряйте сотрудников сообщать о подозрительных событиях без страха наказания;
• Распространите памятки по безопасности, адаптированные под разные роли в организации.

Дополнительные меры предосторожности

1. Шифруйте конфиденциальные данные на устройствах и в облаке.
2. Настройте регулярное резервное копирование данных — это поможет быстро восстановиться после атаки.
3. Ограничьте доступ к внешним сервисам и регулярно проверяйте подключённые сторонние приложения.

Вывод

Атаки Vortex Werewolf показывают, что даже технически подкованные злоумышленники полагаются на человеческий фактор. Комплексный подход, сочетающий технические меры, обучение и организационные процессы, значительно снижает риски. Начните с малого: проведите обучение для сотрудников, обновите пароли и настройте двухфакторную аутентификацию. Безопасность — это не разовое действие, а непрерывный процесс.

Четверть руководителей малого и среднего бизнеса уверены, что их компания хакерам не интересна, а 34% считают атаки случайными. Эксперты уточняют: малый бизнес редко становится целью целенаправленных атак, но страдает от своей слабой защиты по сравнению с крупными корпорациями. И основная масса атак связана именно с фишингом.

Хотите узнать больше о конкретных инструментах защиты или методиках обучения сотрудников? Оставьте комментарий — мы подготовим дополнительные материалы!

А если хотите получать регулярно нашу помощь и поддержку, то подписывайтесь на "Виртуального консультанта по ИБ" на Спонсор или в VK. Для получения дополнительной информации пишите - f1@cibez.ru

#фишинг; #вирусы; #атаки; #хакеры; #советы; компрометация;