Werewolves Ransomware IOCs

ransomware IOC
Опубликовано

Центр кибербезопасности F.A.C.C.T. обнаружил новую волну вредоносных писем от группы Werewolves, направленных на российские производственные, энергетические и геологоразведочные компании. Некоторое время эта группировка была неактивна, но недавно вновь заявила о себе массовой атакой на тему весеннего призыва в армию и различных претензий, которые можно решить в досудебном порядке.

Werewolves

Эти фишинговые письма были обнаружены Managed XDR Центра кибербезопасности F.A.C.C.T. в конце марта. Письма были отправлены от транспортных компаний и ресторана в Липецке с темами "Претензия" и "Запрос". Злоумышленники использовали вложения с файлами "жалоба.doc", "акт сверки.xls" и "анкета.xls", которые содержали загрузчики Cobalt Strike Beacon.

Аналитики F.A.C.C.T. также обнаружили, что группа Werewolves использовала методы подмены электронной почты, подделывая адрес электронной почты отправителя, чтобы он казался легитимным. Вместо того чтобы создавать собственные учетные записи электронной почты, группа использовала потенциально взломанные аккаунты. В одном из писем даже использовался несуществующий почтовый адрес военного комиссариата Нижегородской области, в котором обсуждалась тема военных сборов, актуальная в весенний период. В письме получателю предлагалось заполнить приложенную к письму анкету, содержащую вредоносное ПО.

Группа Werewolves специализируется на вымогательстве с использованием шифровальщика. В отличие от многих других групп, занимающихся вымогательством, они прямо заявляют о своей способности осуществлять атаки в странах СНГ. Для разработки своих атак они обычно используют такие инструменты, как Cobalt Strike, AnyDesk и Netscan, а сам шифровальщик основан на коде LockBit.

Одним из отличительных аспектов группы Werewolves является их DLS-сайт, на котором они требуют выплаты выкупа. В отличие от большинства групп, использующих сеть Tor, DLS-сайт Werewolves размещен в другом месте. Не все успешные атаки группы публикуются на этом сайте, и, по словам специалистов киберразведки F.A.C.C.T., они требуют от 130 000 до 1 000 000 долларов за расшифровку и неопубликование данных. Они также предлагают платные варианты "удалить данные" или "скрыть данные на один день", хотя пока неизвестно, воспользовался ли кто-нибудь этими услугами и эффективны ли они. Группа сменила домен для своего DLS-сайта в ноябре 2023 года, но он по-прежнему не был размещен в Tor.

Indicators of Compromise

Domains

  • gays.egorvlasov.ru
  • phod.ru

SHA1

  • 26bdbc63af8abae9a8fb6ec0913a307ef6614cf2
  • b933c405147d5258088b63b3c0f246a6449f4141
  • fdea3031b86b19dc4262d1be8d5437a9a652efd4

Похожие записи:

  1. PyCrypter Ransomware IOCs
  2. LokiLocker Ransomware IOC
  3. Hive Ransomware IOC
  4. AvosLocker Ransomware IOC
  5. EvilNominatus Ransomware IOC
F.A.C.C.T. Ransomware Werewolves
Добавить комментарий