Новая группа вымогателей, называющая себя Werewolves (оборотни), с июня 2023 года активно атакует российские компании, требуя за расшифровку и непубликацию украденных данных выкуп в размере от $130 000 до $1 млн. "Лям зеленых" преступники готовы платить инсайдерам за компрометирующую информацию о компании и ее топ-менеджерах.
Эксперты Лаборатории цифровой криминалистики компании F.A.C.C.T. обнаружили новую преступную группу вымогателей Werewolves . Злоумышленники создали собственный DLS-сайт на русском и английском языках, где выкладывают данные об атакованных компаниях.
С мая по октябрь 2023 года в списке их жертв значится 21 компания, причем 15 и них российские — это микрофинансовые организации, предприятия нефтегазового сектора, отели, IT-компании. Пик атак “оборотней” в России пришелся на сентябрь-октябрь этого года: были атакованы как минимум 11 российских компаний, суммы требуемого выкупа колеблются от $130 000 до $ 450 000.
Рекордную сумму выкупа в $1 млн злоумышленники рассчитывают получить от российского банка, угрожая публикацией данных объемом 120 тб.
Одну из своих первых атак Werewolves, вероятно, совершили еще в октябре 2022 года в Западной Африке, на поставщика электроэнергии Electricity Company of Ghana, ECG — ссылку на публикацию в местной прессе атакующие сами разместили на своем сайте. Кроме них, в списке жертв есть итальянские и голландские компании.
Werewolves активно использует технику "double extortion" — двойного давления на жертву: кроме вымогательства за расшифровку данных злоумышленники выкладывают на собственном DLS информацию компаний-жертв, отказавшихся платить выкуп. Справка о компании включает уничижительные характеристики об уровне информационной безопасности жертв: “ Данные клиентов и гостей не защищены”, “Халатное отношение и хранению информации”,” Устаревшие сервера и оборудование”.
В качестве начального вектора атакующие используют слабозащищенные публичные сервисы жертвы, а шифруют данные компании с помощью версии программы-вымогателя LockBit3 (Black), собранной на основе появившегося в публичном пространстве билдера. Кроме того, атакующие используют в атаках утекший инструментарий криминальной IT-корпорации вымогателей Conti, на счету которых было более 850 жертв — корпорации, госведомства и целое государство — Коста-Рика.
Судя по сообщениям на сайте, группа активно раскручивает свою собственную партнерскую программу, рекрутируя новых "вольных пентестеров" , а кроме того разыскивают инсайдеров внутри компании, которые могли бы сообщить компромат на руководство за вознаграждение в $1 млн.
"Вообще, по степени самолюбования на грани нарциссизма и обилию саморекламы можно сделать вывод, что хакеры-хактивисты Werewolves не вышли еще подросткового возраста, — считает эксперт Лаборатории цифровой криминалистики компании F.A.C.C.T. — В отличие от матерых вымогателей, “оборотни” стараются привлечь к себе как можно больше внимания исследователей, например, название их группы явно навеяно таксономией одной отечественной ИБ-компании, обозначающему операторов шифровальщиков “волчьими” названиями. Что ж они добились своего — их заметили, теперь они, как волки в тире”.