«Хакеры»-дилетанты смогли провести 140 атак на российские компании

Ранее неизвестную кибергруппировку Fluffy Wolf уличили в использовании легитимных ПО-инструментов для удаленного доступа и недорогого коммерческого вредоносного программного обеспечения.

Эксперты компании по информбезопасности BI.ZONE Threat Intelligence обнаружили любительскую кибергруппировку Fluffy Wolf. Преступники использовали с 2022 года купленное на черном рынке коммерческое вредоносное ПО и рассылали с широким охватом фишинговые письма.

«Злоумышленники приобретают Meta Stealer на теневых форумах или в специальном телеграм-канале. Арендовать стилер на месяц можно за 150 долларов, приобрести постоянную лицензию – за 1 тыс. долларов», – рассказал PRO Шеринг руководитель BI.ZONE Threat Intelligence Олег Скулкин.

По его словам, стоимость лицензий на легитимное ПО Remote Utilities зависит от задач покупателя и варьируется от 29 до 12 тыс. долларов, но есть возможность воспользоваться бесплатной базовой версией. Все это делает себестоимость атаки крайне низкой, а использование методов социальной инженерии повышает шансы на успех кампании.

Чтобы получить первоначальный доступ к инфраструктуре, киберпреступники рассылают фишинговые письма с вложениями, замаскированными под акты сверки. При этом обеспечить большое покрытие рассылки не составляет технической сложности, а даже одного такого открытого письма достаточно для компрометации целой инфраструктуры. Именно поэтому фишинг используется в 68% всех целевых атак на организации.

По данным BI.ZONE, около 5% сотрудников российских компаний открывают вредоносные вложения и переходят по ссылкам из фишинговых писем.

В одной из последних кампаний злоумышленники от имени строительной организации рассылали фишинговые письма с темой «Акты на подпись». К письму прилагался архив, в названии которого был пароль, а внутри — вредоносный файл под видом документа. 

Когда пользователь его открывал, на устройство устанавливались две программы: Meta Stealer — коммерческое ВПО, предназначенное для кражи данных, а также легитимное средство удаленного доступа Remote Utilities.

Так преступники получали полный контроль над компьютером жертвы и могли отслеживать действия пользователя, передавать файлы, выполнять команды, работать с диспетчером задач. Это серьезно расширяет ландшафт угроз для компаний из России и СНГ.

Meta Stealer представляет собой клон популярного стилера RedLine и позволяет собирать разные виды информации, в том числе учетные данные и cookie из Chromium- и Firefox-подобных браузеров, а также данные из бесплатной программы для подключения к FTP-серверу FileZilla, криптокошельков и VPN-клиентов. Однако, в отличие от RedLine, разработчики Meta Stealer не запрещают использовать его в атаках на организации из России и других стран СНГ.

Ранее Fluffy Wolf также применяла другие вредоносные программы. В том числе платный троян удаленного доступа WarZone RAT, который позволял злоумышленникам получить контроль над компьютером жертвы. В некоторых случаях преступники устанавливали на скомпрометированные устройства майнер XMRig — программный инструмент для добычи криптовалют.

Группировки крадут аутентификационные данные с разными целями, например ради перепродажи доступов другим киберпреступникам. Те применяют полученную информацию для атак по различным сценариям, в том числе используют шифровальщики и требуют выкуп за восстановление доступа к инфраструктуре.

В 2023 году максимальная сумма выкупа, которую злоумышленники пытались запросить у российской компании, составила 5 млн долларов.

Чтобы максимально обезопасить компанию от атак, выстроенных по схеме Fluffy Wolf, необходимо сочетать несколько классов решений, рекомендует Олег Скулкин.

Сервисы для фильтрации нежелательной почты помогут защититься от фишинга. Если фишинговая ссылка все же попадет к пользователю, и он попытается перейти на вредоносный домен, современные решения для защиты DNS-трафика не дадут установить соединение с сервером злоумышленников. Такие решения интегрированы с платформами киберразведки (threat intelligence, TI) и получают оттуда актуальную информацию о вредоносных доменах. 

Платформы TI предоставляют актуальные данные о ландшафте угроз: активности группировок, тактиках и техниках злоумышленников, применяемом ВПО и эксплуатируемых уязвимостях. Эту информацию компании используют для выстраивания кибербезопасности и принятия стратегических решений.

Фото: Adobe Stock