Pull to refresh
94.14

Ауф, Werewolves: новая группа вымогателей предлагает инсайдерам $1 млн за компромат на руководство

Reading time2 min
Views2.3K

Новая группа вымогателей, называющая себя Werewolves (оборотни), с июня 2023 года активно атакует российские компании, требуя за расшифровку и непубликацию украденных данных выкуп в размере от $130 000 до $1 млн. "Лям зеленых" преступники готовы платить инсайдерам за компрометирующую информацию о компании и ее топ-менеджерах.

Эксперты Лаборатории цифровой криминалистики компании F.A.C.C.T. обнаружили новую преступную группу вымогателей Werewolves . Злоумышленники создали собственный DLS-сайт на русском и английском языках, где выкладывают данные об атакованных компаниях.

Скриншот сайта с данными о жертвах
Скриншот сайта с данными о жертвах

С мая по октябрь 2023 года в списке их жертв значится 21 компания, причем 15 и них российские — это микрофинансовые организации, предприятия нефтегазового сектора, отели, IT-компании. Пик атак “оборотней” в России пришелся на сентябрь-октябрь этого года: были атакованы как минимум 11 российских компаний, суммы требуемого выкупа колеблются от $130 000 до $ 450 000.

Рекордную сумму выкупа в $1 млн злоумышленники рассчитывают получить от российского банка, угрожая публикацией данных объемом 120 тб.

Одну из своих первых атак Werewolves, вероятно, совершили еще в октябре 2022 года в Западной Африке, на поставщика электроэнергии Electricity Company of Ghana, ECG — ссылку на публикацию в местной прессе атакующие сами разместили на своем сайте. Кроме них, в списке жертв есть итальянские и голландские компании.

Werewolves активно использует технику "double extortion" — двойного давления на жертву: кроме вымогательства за расшифровку данных злоумышленники выкладывают на собственном DLS информацию компаний-жертв, отказавшихся платить выкуп. Справка о компании включает уничижительные характеристики об уровне информационной безопасности жертв: “ Данные клиентов и гостей не защищены”, “Халатное отношение и хранению информации”,” Устаревшие сервера и оборудование”.

Скриншот ransom note - сообщения, которое атакующие отправляют жертве
Скриншот ransom note - сообщения, которое атакующие отправляют жертве

В качестве начального вектора атакующие используют слабозащищенные публичные сервисы жертвы, а шифруют данные компании с помощью версии программы-вымогателя LockBit3 (Black), собранной на основе появившегося в публичном пространстве билдера. Кроме того, атакующие используют в атаках утекший инструментарий криминальной IT-корпорации вымогателей Conti, на счету которых было более 850 жертв — корпорации, госведомства и целое государство — Коста-Рика.

Судя по сообщениям на сайте, группа активно раскручивает свою собственную партнерскую программу, рекрутируя новых "вольных пентестеров" , а кроме того разыскивают инсайдеров внутри компании, которые могли бы сообщить компромат на руководство за вознаграждение в $1 млн.

"Вообще, по степени самолюбования на грани нарциссизма и обилию саморекламы можно сделать вывод, что хакеры-хактивисты Werewolves не вышли еще подросткового возраста, — считает эксперт Лаборатории цифровой криминалистики компании F.A.C.C.T. — В отличие от матерых вымогателей, “оборотни” стараются привлечь к себе как можно больше внимания исследователей, например, название их группы явно навеяно таксономией одной отечественной ИБ-компании, обозначающему операторов шифровальщиков “волчьими” названиями. Что ж они добились своего — их заметили, теперь они, как волки в тире”.

Tags:
Hubs:
Total votes 2: ↑1 and ↓10
Comments4

Other news

Information

Website
www.facct.ru
Registered
Founded
Employees
501–1,000 employees
Location
Россия