Поделиться
Scaly Wolf атакует российские промышленные и логистические предприятия
Для кражи корпоративных данных преступники применяют стилер White Snake, несмотря на то что разработчик и продавец этой программы запретил использовать ее на территории России и СНГ.
Группировка Scaly Wolf активна с начала лета 2023 г. и инициировала не менее 10 кампаний. Преступники охотились за корпоративными данными, преимущественно выбирая в качестве целей промышленные и логистические компании из России. Последняя атака инициирована в январе 2024 г. Об этом CNews сообщили представители Bi.Zone.
Злоумышленники рассылают фишинговые письма, замаскированные под документы государственных органов. Среди них — запросы и требования Роскомнадзора, Следственного комитета России и Военной прокуратуры России, а также судебные постановления и другие предписания регуляторов. В некоторых случаях вредоносное сообщение оформляли как коммерческое предложение.
Отличительная черта Scaly Wolf — высокий уровень юридической грамотности, с которой составлялись письма и поддельные документы. Во всех случаях текст письма выглядит крайне убедительно и вызывает доверие у пользователей. Это побуждает жертву следовать инструкции из письма и файл из приложенного архива, где якобы содержатся документы.
На самом деле там находится вредоносное ПО — стилер White Snake, который позволяет злоумышленникам получать доступ сразу к нескольким корпоративным ресурсам, например электронной почте и CRM-системе.
White Snake собирает аутентификационные данные, включая сохраненные в браузере логины и пароли, записывает нажатия клавиш, копирует файлы с зараженного компьютера и обеспечивает удаленный доступ к нему. Программа интегрирована с ботом в Telegram, где злоумышленники получают оповещения о новых зараженных устройствах.
Олег Скулкин, руководитель Bi.Zone Threat Intelligence: «White Snake сразу привлек киберпреступников низкой стоимостью (всего $140 за месяц аренды), простотой в использовании и широкой функциональностью, в частности возможностью красть данные криптокошельков. Однако разработчики стилера запретили применять его на территории России и СНГ. Группировка Scaly Wolf сумела обойти этот запрет: она отключила функцию, которая немедленно прекращала работу программы, если ее запускали на устройстве с IP-адресом из «запрещенных» регионов».
Наиболее вероятная мотивация Scaly Wolf — выкуп за украденные данные или их перепродажа на черном рынке. Судя по непрекращающейся активности группы, ее атаки на российские компании будут продолжаться еще долго и, скорее всего, по той же схеме — с использованием фишинговых писем для распространения стилера.
По данным Bi.Zone, 68% целевых атак на компании начинаются с фишингового письма. В 2023 г. в число лидеров по количеству потенциально опасных писем вошли промышленность и логистика — именно те отрасли, которые атакует Scaly Wolf.
Чтобы защитить корпоративную почту от фишинга, следует использовать сервисы для фильтрации нежелательных писем. Актуальную информацию о киберугрозах и рекомендации по защите от них предоставляют современные платформы киберразведки (threat intelligence).
***
Bi.Zone — компания по управлению цифровыми рисками. Bi.Zone разрабатывает собственные продукты для обеспечения устойчивости ИТ‑инфраструктур любого размера и оказывает широкий спектр услуг по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 г. компания реализовала более 1200 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и др., защитив свыше 500 клиентов в 15 странах мира.
Короткая ссылка
