Поделиться
Вымогатели подали претензию: F6 обнаружила новые атаки киберпреступной группы Werewolves
Компания F6, разработчик технологий для борьбы с киберпреступностью, обнаружила новую волну вредоносных рассылок от группы вымогателей Werewolves. Злоумышленники направляют фейковые досудебные претензии с вредоносными вложениями от имени завода спецтехники, базы отдыха и производителя электротехнической продукции. Такие письма адресовали промышленным, финансовым и энергетическим организациям, а также ритейлерам. Об этом CNews сообщили представители F6.
Werewolves - группа вымогателей, действует с 2023 г. Атаковала российские промышленные предприятия, телекоммуникационные и ИТ-компании, финансовые и страховые организации. Использует технику двойного давления на жертву: кроме вымогательства за расшифровку данных, злоумышленники выкладывают на сайте информацию о тех, кто отказался платить.
С начала 2024 г. аналитики Центра кибербезопасности F6 зафиксировали несколько волн вредоносных рассылок от группы Werewolves (от англ. «оборотни»). Весной 2024 г. вымогатели проводили массовые рассылки на тему весеннего призыва, а затем создали домен, маскирующийся под сайт российского производителя спецтехники. С этого сайта «оборотни» позже рассылали письма с темами «Досудебная претензия» и «Рекламация», в которых содержались вредоносные вложения, загружавшие Cobalt Strike Beacon. Весной 2025 г. компания F6 заблокировала вредоносную рассылку Werewolves, направленную на компании из различных сфер, включая банки, промышленные предприятия, ритейл и логистические компании. А в июне 2025 г. «оборотни» снова провели рассылки, на этот раз в адрес промышленных, финансовых, энергетических организаций и ритейлеров.
Для доставки вредоносного программного обеспечения (ВПО) злоумышленники направляют письма правовой и финансовой тематики. Группа продолжает использовать тот же инструментарий, что и в предыдущих атаках. В качестве тем в июньских рассылках использовались: «Досудебная претензия», «Досудебное», «Уведомление(досудебное)». Во вложении рассылались следующие типы файлов: архив, содержащий LNK-файл с двойным расширением; а также документ Microsoft Office, в котором эксплуатируется уязвимость CVE-2017-11882.
Злоумышленники из Werewolves продолжили создавать для вредоносных рассылок домены, похожие на домены сайтов компаний из различных отраслей – они различаются только доменной зоной (.ru вместо .com). Так, к поддельному домену завода спецтехники добавились ложные домены базы отдыха и производителя электротехнической продукции.
Кроме того, злоумышленники продолжили использовать спуфинг (подмену адреса отправителя) в своих рассылках. Например, в одном из писем группа подменила адрес отправителя, чтобы направить письмо от имени главного бухгалтера российского аэропорта.
Короткая ссылка
