Вымогатели предлагают $1 млн за компромат на руководство

Компания F.A.С.С.T. обнаружила новую группу вымогателей Werewolves, которая с июня 2023 года активно атакует российские компании. Они требуют за расшифровку, а также за то, что данные не будут опубликованы в сеть, от $130 тысяч до $1 млн. При этом $1 млн они готовы сами отдать инсайдерам за компрометирующую информацию о компании и ее топ-менеджерах. 

Werewolves создали собственный DLS-сайт на русском и английском языках, где выкладывают данные об атакованных компаниях. С мая по октябрь 2023 года в списке их жертв значится 21 компания, причем 15 из них российские — это микрофинансовые организации, предприятия нефтегазового сектора, отели, а также ИТ-компании. Пик атак хакеров пришелся на сентябрь-октябрь 2023 года: были атакованы как минимум 11 российских компаний, суммы требуемого выкупа колеблются от $130 тысяч до $450 тысяч. Рекордную сумму выкупа в $1 млн злоумышленники рассчитывают получить от российского банка, угрожая публикацией данных объемом 120 ТБ. 

Как работают злоумышленники: они используют технику «double extortion» — двойного давления на жертву. Кроме вымогательства за расшифровку данных злоумышленники выкладывают на собственном DLS информацию компаний-жертв, отказавшихся платить выкуп. Более того, резюме хакеров о компании включает уничижительные характеристики об уровне информационной безопасности жертв. 

В качестве начального вектора атакующие используют слабозащищенные публичные сервисы жертвы, а шифруют данные компании с помощью версии программы-вымогателя LockBit3 (Black), собранной на основе появившегося в публичном пространстве исходного кода. Кроме того, атакующие используют в атаках утекший инструментарий криминальной ИT-корпорации вымогателей Conti, на счету которых было более 850 жертв — корпорации, госведомства и целое государство — Коста-Рика. 

Более того, группа активно раскручивает свою собственную партнерскую программу, рекрутируя новых «вольных пентестеров», а кроме того разыскивают инсайдеров внутри компании, которые могли бы сообщить компромат на руководство за $1 млн. 

Ранее редакция IT Speaker писала о том, что на оператора платежной системы «Мир» (Национальная Система Платежных Карт, НСПК) была совершена хакерская атака. Хакеры смогли выгрузить информацию из серверов платежной системы «Мир», а также «здорово провели время в их внутренней сети и теперь готовы заявить о взломе крупнейшего платежного оператора».