Вымогатели Werewolves зовут россиян на военные сборы

Аналитики F.A.C.C.T. обнаружили новую волну вредоносных рассылок от группы Werewolves. Так, хакеры атаковали российские производственные, энергетические и геологоразведочные компании. В своих действиях они использовали тему весеннего призыва, а также различные претензии, которые предлагалось решить в досудебном порядке. 

Отметим, что в в конце марта система защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR обнаружила фишинговые письма, которые рассылались от имени транспортных компаний и липецкого ресторана с темами «Претензионное», «Запрос». 

В свежих рассылках члены группировки под видом судебных претензий, требований и актов отправляли вредоносные .doc и .xls-файлы, являющимися загрузчиками Cobalt Strike Beacon — компонента инструмента Cobalt Strike. 

Кроме того, аналитики Центра Кибербезопасности F.A.C.C.T. выявили подмену злоумышленниками адреса электронной почты отправителя с помощью спуфинга — техники, которая позволяет подделать почту отправителя и создать видимость, что письмо отправлено с легитимного адреса. Werewolves в этой кампании, как правило, не создавали свои электронные ящики, а отправляли c потенциально взломанных учетных записей. 

Например, в одном из писем в роли адреса отправителя использовался несуществующий почтовый адрес военного комиссариата Нижегородской области. В сообщении злоумышленники использовали тему военных сборов. В письме говорилось о необходимости направить данные о действующих сотрудниках организации по образцу анкеты во вложении, которая была с вредоносной программой. 

Напомним, что группировка Werewolves специализируется на вымогательстве денег с помощью шифровальщика. В отличие от многих других ransomware-группировок, группа прямо указывает, что может проводить атаки в странах СНГ. 

Добавим, что лидером по числу кибератак в 2023 году стал ритейл — 15% организаций этого сектора подверглись атакам. На втором месте оказались промышленность и энергетика, финансовый и страховой секторы —  по 12% зафиксированных атак. Такие данные приводят эксперты BI.ZONE в годовом отчете Threat Zone 2024.