Оборотни активны в полнолуния, а вымогатели из группировки Werewolves проявляют себя значительно реже.
Аналитики Центра Кибербезопасности F.A.C.C.T. обнаружили новую волну вредоносных рассылок от группы Werewolves после длительного перерыва. Злоумышленники атаковали российские производственные, энергетические и геологоразведочные компании. В массовой атаке они использовали тему весеннего призыва, а также различные претензии, которые предлагалось решить в досудебном порядке.
Ранее мы уже писали об этих киберпреступниках.
В конце марта система защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR обнаружила фишинговые письма, которые рассылались от имени транспортных компаний и липецкого ресторана с темами «Претензионное», «Запрос».
В свежих рассылках члены группировки под видом судебных претензий, требований и актов отправляли вредоносные .doc и .xls-файлы, являющимися загрузчиками Cobalt Strike Beacon – компонента инструмента Cobalt Strike.
К письмам были прикреплены файлы под названиями: «рекламация.doc», «акт сверки.xls» и «анкета.xls».
Скриншот из системы Managed XDR
Кроме того, аналитики Центра Кибербезопасности F.A.C.C.T. выявили подмену злоумышленниками адреса электронной почты отправителя с помощью спуфинга — техники, которая позволяет подделать почту отправителя и создать видимость, что письмо отправлено с легитимного адреса. Werewolves в этой кампании, как правило, не создавали свои электронные ящики, а отправляли c потенциально взломанных учетных записей.
В одном из писем в роли адреса отправителя использовался несуществующий почтовый адрес военного комиссариата Нижегородской области. В сообщении злоумышленники использовали тему военных сборов, которая особенно актуальна в начале весны. В письме говорилось о необходимости направить данные о действующих сотрудниках организации по образцу анкеты во вложении, которая была с вредоносной программой.
Поддельное письмо
Напомним, группировка Werewolves специализируется на вымогательстве денег с помощью шифровальщика. В отличие от многих других ransomware-группировок, группа прямо указывает, что может проводить атаки в странах СНГ.
Как правило, для развития своих атак злоумышленники используют такие инструменты, как Cobalt Strike, AnyDesk, Netscan. Вредоносный экземпляр самого шифровальщика был основан на коде LockBit.
Отдельной особенностью Werewolves является свой DLS-сайт, который в отличие от подавляющего большинства ransomware-групп не располагался в Tor.
По данным специалистов Киберразведки F.A.C.C.T., не все успешные атаки злоумышленники публиковали на своем DLS‑сайте. По данным, представленным в карточках жертв на DLS‑сайте, за расшифровку и непубликацию данных они требуют от $130 000 до $1 000 000, также у них есть платная опция «удалить данные» или «скрыть данные на один день» (однако неизвестно, пользовался ли кто‑то данной услугой и рабочая ли она). В ноябре 2023 года злоумышленники изменили домен для своего DLS‑сайта, но он по‑прежнему располагался не в Tor.
Индикаторы компрометации.
Имена файлов из рассылки:
рекламация.docакт сверки.xlsанкета.xlsгост_623-лот13.xlsтп-нн-384.xlsгост_св-62332.doc
Файлы в процессе работы ВПО:
qr1.pngqr[1].pngqr.pngInexpensive.pifFirst
SHA1:
b933c405147d5258088b63b3c0f246a6449f414126bdbc63af8abae9a8fb6ec0913a307ef6614cf2fdea3031b86b19dc4262d1be8d5437a9a652efd4
Домены:
phod[.]rugays.egorvlasov[.]ru
Источник: habr.com