Поделиться
Новая группа вымогателей предлагает инсайдерам $1 млн за компромат на руководство
Компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, обнаружила новую группу вымогателей Werewolves, которая с июня 2023 г. активно атакует российские компании, требуя за расшифровку и непубликацию украденных данных выкуп в размере от $130 тыс. до $1 млн. Миллион долларов преступники готовы сами платить инсайдерам за компрометирующую информацию о компании и ее топ-менеджерах.
Эксперты лаборатории цифровой криминалистики компании F.A.C.C.T. обнаружили новую преступную группу вымогателей, называющей себя Werewolves (оборотни). Злоумышленники создали собственный DLS-сайт на русском и английском языках, где выкладывают данные об атакованных компаниях. С мая по октябрь 2023 г. в списке их жертв значится 21 компания, причем 15 и них российские — это микрофинансовые организации, предприятия нефтегазового сектора, отели, ИТ-компании. Пик атак «оборотней» в России пришелся на сентябрь-октябрь этого года: были атакованы как минимум 11 российских компаний, суммы требуемого выкупа колеблются от $130 тыс. до $450 тыс. Рекордную сумму выкупа в $1 млн злоумышленники рассчитывают получить от российского банка, угрожая публикацией данных объемом 120 ТБ.
Одну из своих первых атак Werewolves, вероятно, совершили еще в октябре 2022 г. в Западной Африке, на поставщика электроэнергии Electricity Company of Ghana, ECG — ссылку на публикацию в местной прессе атакующие сами разместили на своем сайте. Кроме них, в списке жертв есть итальянские и голландские компании.
Werewolves активно использует технику double extortion — двойного давления на жертву: кроме вымогательства за расшифровку данных, злоумышленники выкладывают на собственном DLS информацию компаний-жертв, отказавшихся платить выкуп. Справка о компании включает уничижительные характеристики об уровне информационной безопасности жертв: «Данные клиентов и гостей не защищены», «Халатное отношение и хранению информации», «Устаревшие сервера и оборудование».
В качестве начального вектора атакующие используют слабозащищенные публичные сервисы жертвы, а шифруют данные компании с помощью версии программы-вымогателя LockBit3 (Black), собранной на основе появившегося в публичном пространстве исходного кода. Кроме того, атакующие используют в атаках утекший инструментарий криминальной ИТ-корпорации вымогателей Conti, на счету которой было более 850 жертв — корпорации, госведомства и целое государство — Коста-Рика.
Судя по сообщениям на сайте, группа активно раскручивает свою собственную партнерскую программу, рекрутируя новых «вольных пентестеров», а также разыскивает инсайдеров внутри компании, которые могли бы передать компромат на руководство за вознаграждение в $1 млн.
«Вообще, по степени самолюбования на грани нарциссизма и обилию саморекламы можно сделать вывод, что хакеры-хактивисты Werewolves не вышли еще из подросткового возраста. В отличие от матерых вымогателей «оборотни» стараются привлечь к себе как можно больше внимания исследователей, например, название их группы явно навеяно таксономией одной отечественной ИБ-компании, обозначающему операторов шифровальщиков «волчьими» названиями», — отмечают эксперты лаборатории цифровой криминалистики компании F.A.C.C.T.
Короткая ссылка
