Оборотни активны в полнолуния, а вымогатели из группировки Werewolves проявляют себя значительно реже.
Аналитики Центра Кибербезопасности F.A.C.C.T. обнаружили новую волну вредоносных рассылок от группы Werewolves после длительного перерыва. Злоумышленники атаковали российские производственные, энергетические и геологоразведочные компании. В массовой атаке они использовали тему весеннего призыва, а также различные претензии, которые предлагалось решить в досудебном порядке.
Ранее мы уже писали об этих киберпреступниках.
В конце марта система защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR обнаружила фишинговые письма, которые рассылались от имени транспортных компаний и липецкого ресторана с темами «Претензионное», «Запрос».
В свежих рассылках члены группировки под видом судебных претензий, требований и актов отправляли вредоносные .doc и .xls-файлы, являющимися загрузчиками Cobalt Strike Beacon – компонента инструмента Cobalt Strike.
К письмам были прикреплены файлы под названиями: «рекламация.doc», «акт сверки.xls» и «анкета.xls».
Кроме того, аналитики Центра Кибербезопасности F.A.C.C.T. выявили подмену злоумышленниками адреса электронной почты отправителя с помощью спуфинга — техники, которая позволяет подделать почту отправителя и создать видимость, что письмо отправлено с легитимного адреса. Werewolves в этой кампании, как правило, не создавали свои электронные ящики, а отправляли c потенциально взломанных учетных записей.
В одном из писем в роли адреса отправителя использовался несуществующий почтовый адрес военного комиссариата Нижегородской области. В сообщении злоумышленники использовали тему военных сборов, которая особенно актуальна в начале весны. В письме говорилось о необходимости направить данные о действующих сотрудниках организации по образцу анкеты во вложении, которая была с вредоносной программой.
Напомним, группировка Werewolves специализируется на вымогательстве денег с помощью шифровальщика. В отличие от многих других ransomware-группировок, группа прямо указывает, что может проводить атаки в странах СНГ.
Как правило, для развития своих атак злоумышленники используют такие инструменты, как Cobalt Strike, AnyDesk, Netscan. Вредоносный экземпляр самого шифровальщика был основан на коде LockBit.
Отдельной особенностью Werewolves является свой DLS-сайт, который в отличие от подавляющего большинства ransomware-групп не располагался в Tor.
По данным специалистов Киберразведки F.A.C.C.T., не все успешные атаки злоумышленники публиковали на своем DLS‑сайте. По данным, представленным в карточках жертв на DLS‑сайте, за расшифровку и непубликацию данных они требуют от $130 000 до $1 000 000, также у них есть платная опция «удалить данные» или «скрыть данные на один день» (однако неизвестно, пользовался ли кто‑то данной услугой и рабочая ли она). В ноябре 2023 года злоумышленники изменили домен для своего DLS‑сайта, но он по‑прежнему располагался не в Tor.
Индикаторы компрометации.
Имена файлов из рассылки:
рекламация.doc
акт сверки.xls
анкета.xls
гост_623-лот13.xls
тп-нн-384.xls
гост_св-62332.doc
Файлы в процессе работы ВПО:
qr1.png
qr[1].png
qr.png
Inexpensive.pif
First
SHA1:
b933c405147d5258088b63b3c0f246a6449f4141
26bdbc63af8abae9a8fb6ec0913a307ef6614cf2
fdea3031b86b19dc4262d1be8d5437a9a652efd4
Домены:
phod[.]ru
gays.egorvlasov[.]ru
