Аналитики Центра кибербезопасности F6 зафиксировали новую волну целевых атак от российской группировки вымогателей Werewolves ("Оборотни"). Злоумышленники рассылают фишинговые письма, маскирующиеся под официальные досудебные претензии от реальных компаний - производителей спецтехники, баз отдыха и электротехнического оборудования. Вложения в этих письмах содержат вредоносные нагрузки, способные привести к полному компрометированию корпоративных сетей. Группа, действующая с 2023 года, специализируется на двойном шантаже: требуя выкуп за расшифровку данных, она параллельно публикует конфиденциальную информацию жертв на своем Data Leak Site (DLS), оказывая психологическое давление на организации, отказавшиеся платить.
Описание
История активности Werewolves демонстрирует их адаптивность и упорство. После массовых рассылок весной 2024 года, эксплуатировавших тему весеннего призыва, и создания поддельного домена kzst45[.]ru, имитирующего сайт производителя спецтехники, группировка продолжила атаки в марте и июне 2025-го. Несмотря на блокировку F6 их предыдущей кампании, нацеленной на банки, промышленность и ритейл, "Оборотни" быстро восстановили инфраструктуру. В июне они вновь атаковали промышленные предприятия, финансовый сектор, энергетику и логистические компании, используя отработанные инструменты вроде Cobalt Strike, Meterpreter и Lockbit.
Ключевой тактикой остается социальная инженерия. Письма июньской волны имели правдоподобные темы: "Досудебная претензия", "Уведомление(досудебное)", "Досудебное". Вложения включали два типа угроз: ZIP-архивы с LNK-файлами, маскирующимися под документы PDF через двойное расширение (.pdf.lnk), и DOC-файлы, эксплуатирующие уязвимость CVE-2017-11882 в Microsoft Office. Первый метод рассчитан на невнимательность пользователей: при стандартных настройках Windows расширение .lnk скрывается, и файл выглядит как безобидный PDF. Запуск такого ярлыка приводит к исполнению вредоносного кода. Второй вариант опаснее - уязвимость CVE-2017-11882 позволяет запустить произвольный код с правами текущего пользователя без каких-либо дополнительных действий, кроме открытия документа.
Инфраструктура группы демонстрирует системный подход к мимикрии. Werewolves продолжают использовать домен kzst45[.]ru, копирующий легитимный kzst45[.]com, а также зарегистрировали новый - mysterykamchatka[.]ru, имитирующий ресурс в зоне .com. Анализ графовых связей между доменами, IP-адресами и серверами управления (C2) показал их тесную взаимосвязь, что указывает на централизованное управление атаками. Дополнительно применяется спуфинг - подмена адреса отправителя. В одной из рассылок письма приходили якобы от главного бухгалтера российского аэропорта, что повышало доверие получателей.
Финальной нагрузкой во всех случаях становится Cobalt Strike's Beacon - мощный инструмент для удаленного управления системами, сбора данных и перемещения по сети. Его внедрение позволяет злоумышленникам долгое время оставаться незамеченными, готовя почву для шифрования данных или кражи критической информации. Учитывая специализацию Werewolves на промышленных и финансовых организациях, последствия таких атак могут включать остановку производств, утечку коммерческих тайн и многомиллионные убытки.
F6 подчеркивает: несмотря на кажущуюся простоту методов, эффективность Werewolves обусловлена их настойчивостью и умением играть на человеческих слабостях. Рекомендации для компаний включают обязательный патчинг уязвимостей (особенно CVE-2017-11882), обучение сотрудников распознаванию фишинга (например, проверку реальных расширений файлов), внедрение решений для анализа вложений в "песочнице", блокировку подозрительных доменов на уровне DNS и использование EDR-систем для детектирования Beacon. Важно помнить, что оплата выкупа не гарантирует возврата данных или прекращения шантажа - публикация на DLS часто происходит независимо от переговоров. Бдительность и многоуровневая защита остаются главным оружием против "Оборотней".
Индикаторы компрометации
IPv4 Port Combinations
- 194.190.149.207:64668
- 45.146.169.20:61936
- 91.220.81.212:64760
Domains
- bygangs.albertn.ru
- cba.abc92.ru
- dosingpumps.ru
- emec.su
- gemme-cotti.ru
- kzst45.ru
- lieri.ru
- maper.info
- metrix-dv.ru
- mysterykamchatka.ru
- mytho.su
- praestol.su
- xn--e1ajbcejcefx.xn--p1ai
Emails
SHA1
- 2809561aa81b0f4a206059f1e676762aa5faefb8
- 30806cd81583c1c92817ba938892fabf9a6cc40f
- 3094f1073b03963bb27d43ab8ff329c32bcecaa4
- 348aef0892d45022f6ec2aca4c6d72d5ca765f02
- 3e41f26dd976a41d9d58d4f114361967ae9e9f3d
- 52707a40e635dbb2c8503c6791ed5a94f4751440
- 56af11bc10a17c797a1e318979c5d1a61ffb2bc2
- 5f22121ecdaa8c274cda77cc62174d432a89bdf8
- 68460446be242f1552d2bc71ac15a49a2fef0446
- 6a504f8f5a1daf0250277fe9c74917fcd8a0e4ea
- 84790fb16c45fc682e40b40adca448fa6ef065f0
- 9894a41f36d5f65e45dd7ca1699e1c7584271386
- a7b335bcb194cb91cb20fb126f87eb9edfb3ec21
- b109bb026ee97974a947e8dd48c73bb14271383f
- bdcf220097b519039cec8a66863665dcb9cb7e49
- be94946b6deb6699ed8805d736712842238a75bd
- d4f843efe9dd9233004709973665be2070b3c240
- e26e6e4eddf3f5ce94ad4bbcf96cd94786e6e70b
- fb4b0f976556de45a933d078a45bd455f7109658
