Werewolves атакует под видом юристов и бухгалтеров российских компаний

Екатерина Быстрова 27 Июня 2025 - 10:43

Таргетированные атаки

...

Werewolves атакует под видом юристов и бухгалтеров российских компаний

Группа вымогателей Werewolves снова напомнила о себе — специалисты компании F6 зафиксировали новую волну вредоносных рассылок. На этот раз хакеры рассылают фейковые досудебные претензии якобы от имени завода спецтехники, базы отдыха и производителя электротехники.

Цель — промышленные, финансовые, энергетические компании и ретейл.

Группировка действует с 2023 года. В арсенале — атаки на промышленные предприятия, ИТ и телеком-компании, банки и страховые организации. Работают по схеме двойного вымогательства: сначала требуют деньги за расшифровку данных, а если жертва отказывается — публикуют её информацию на своём сайте.

В 2024 году F6 уже фиксировала похожие кампании от этой группы. Весной, например, приходили письма на тему весеннего призыва, потом — рассылки с «претензиями» с поддельного сайта, имитирующего реального производителя спецтехники. Вложения в таких письмах содержали вредоносный код — чаще всего Beacon от Cobalt Strike.

Очередная активность началась в июне 2025 года. Письма — по-прежнему на правовые и финансовые темы: «Досудебная претензия», «Уведомление (досудебное)» и т. п. Во вложении — архивы с LNK-файлом с двойным расширением или документы Office с эксплойтом под старую уязвимость CVE-2017-11882.

Хакеры также не забывают про спуфинг — подмену отправителя. В одном из писем, к примеру, отправителем значился главный бухгалтер одного из российских аэропортов.

Кроме того, продолжают создавать поддельные домены, отличающиеся от настоящих всего одним символом — например, .ru вместо .com. Под ударом уже не только завод, но и базы отдыха, и производители оборудования.

Всё это говорит о том, что группа активно развивает методы социальной инженерии и остаётся опасной для самых разных отраслей.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 13 Ноября 2025 - 17:51

Информационные войны Домашние пользователи Государство

В Таиланде задержан россиянин, которого назвали хакером мирового уровня

Бюро расследования киберпреступлений (БРК) Таиланда задержало 35-летнего россиянина на Пхукете. В ведомстве его назвали «хакером мирового уровня», причастным к атакам на государственные учреждения Европы и США. Арест был произведён по запросу американских властей, сообщил глава БРК Сурапон Прембут.

По его словам, в ближайшее время будет запущена процедура экстрадиции.

Подозреваемый, чьё имя не раскрывается, прибыл в Таиланд 30 октября. О задержании стало известно 12 ноября, хотя, по данным англоязычного издания Khaosod English, его арестовали примерно на неделю раньше.

Как пишет русскоязычная газета «Новости Пхукета» со ссылкой на материалы следствия, ордер на арест был выдан прокуратурой королевства по запросу ФБР. Сотрудники ФБР лично наблюдали за действиями тайских киберполицейских.

«Тайская киберполиция указала, что агенты ФБР следили за ходом дела, а сама операция направлена на укрепление сотрудничества между Таиландом и США в борьбе с преступностью. Формальная процедура экстрадиции неназванного гражданина России в США должна быть начата в ближайшее время», — отмечает издание.

Согласно информации Khaosod English, анализ изъятых у задержанного устройств показал его причастность к кражам криптовалюты на сумму около 100 тыс. USDT (432 тыс. долларов США), включая средства граждан Таиланда.

Других подробностей, включая имя подозреваемого, власти Таиланда пока не раскрывают.