Новая группа вымогателей Dire Wolf атакует глобальные компании с помощью двойного шантажа

Группа применяет тактику двойного шантажа: шифрует данные и угрожает их публикацией, если выкуп не будет уплачен. Это увеличивает давление на организации, для которых утечка конфиденциальной информации может оказаться даже более разрушительной, чем временная недоступность систем.

Технический анализ показывает, что Dire Wolf управляется через аргументы командной строки без использования конфигурационного файла. С помощью параметра -d можно указать конкретную директорию для атаки, а -h выводит справочную информацию. После обработки аргументов проводится первоначальная проверка защиты. Используется мьютекс Global\direwolfAppMutex для определения, запущена ли программа уже, а также проверяется наличие маркера завершения шифрования C:\runfinish.exe. Если условия выполнены, программа останавливает выполнение, логирует событие и запускает процедуру самоудаления.

В противном случае начинается предобработка, а через две секунды настраивается пул рабочих процессов. Количество горутин (легковесных потоков) в восемь раз превышает число логических процессоров, что позволяет параллельно обрабатывать целевые пути. Это повышает пропускную способность, но может привести к значительной нагрузке на центральный процессор и диск, вызывая замедление работы систем и задержки в обслуживании.

Для максимизации успеха шифрования применяются различные методы против восстановления. Самоудаление уменьшает следы анализа, удаляются журналы событий и данные, связанные с резервным копированием, что затрудняет расследование инцидентов и восстановление системы. Служба журналов событий Windows (eventlog) идентифицируется через WMI-запрос, а затем принудительно завершается с помощью команды taskkill. Этот процесс выполняется в бесконечном цикле: проверка идентификатора процесса → принудительное завершение → ожидание → повтор, что блокирует сбор логов даже при перезапуске службы.

Также используются команды для полного удаления точек восстановления (теневых копий) и задач планового резервного копирования. Например, vssadmin delete shadows /all /quiet удаляет все теневые копии томов, а wbadmin stop job -quiet останавливает текущие задачи резервного копирования. Команды bcdedit отключают среду восстановления Windows (WinRE) и игнорируют сбои загрузки. Затем с помощью wevtutil cl удаляются основные журналы событий: Приложение, Система, Безопасность и Установка.

Перед началом шифрования вредоносная программа принудительно завершает процессы, связанные с базами данных, почтовыми серверами, платформами виртуализации, программным обеспечением для резервного копирования и решениями безопасности. Среди целей - sqlservr.exe, vss.exe, memtas.exe, tomcat6.exe, onenote.exe и outlook.exe. Это отключает процессы, ответственные за хранение, управление, совместную работу и безопасность данных, предотвращая восстановление и нормальную работу.

Различные службы, такие как BackupExecJobEngine, SQLSERVERAGENT, wuauserv, VeeamTransportSvc и MSExchangeIS, которые играют ключевую роль в управлении резервными копиями, работе баз данных, обновлениях Windows, управлении ресурсами виртуализации и работе почтовых серверов. Их остановка не только удаляет точки восстановления и отключает резервное копирование, но и нейтрализует функции мониторинга и безопасности, максимизируя уклонение от обнаружения и срыв анализа.

На этапе предварительного шифрования вредоносная программа принудительно завершает процессы и службы, связанные с резервным копированием, безопасностью, базами данных и почтовыми серверами, чтобы предотвратить восстановление. Затем выполняется непосредственно процедура шифрования. Процесс зависит от аргументов, переданных при запуске. Если указан параметр -d, malware обходит только указанный каталог и его подкаталоги. Если аргументов нет, целью становятся все подключенные локальные и сетевые диски, кроме CD/ROM. Во время обхода целевого каталога применяются условия исключения шифрования. Исключаются основные папки для работы операционной системы и восстановления, такие как AppData, Windows, Program Files, $Recycle.Bin и system volume information. Также исключаются системные пути, такие как bootmgr, ntldr и NTUSER.DAT, и файлы с именами типа HowToRecoveryFiles.txt. Кроме того, определенные расширения файлов не шифруются: исполняемые файлы (.exe), библиотеки (.dll), драйверы (.sys, .drv) и образы (.iso, .img). Эти исключения позволяют системе оставаться работоспособной после шифрования, чтобы можно было отобразить сообщение с требованием выкупа и позволить жертве перейти к процессу оплаты.

Сначала создается приватный ключ на основе случайных данных для генерации независимого ключа шифрования для каждого файла. Этот ключ затем используется для выполнения операции обмена ключами Curve25519 с публичным ключом Dire Wolf, вшитым в malware. Общий секрет, сгенерированный в ходе этого процесса, пропускается через алгоритм SHA-256 для использования в качестве ключа шифрования, а тот же результат обрабатывается повторно для получения значения nonce. Эта пара ключ-nonce используется в качестве входных данных для алгоритма потокового шифра ChaCha20 в процессе шифрования. ChaCha20 известен высокой скоростью и подходит для обработки больших объемов данных. Dire Wolf также применяет стратегии шифрования в зависимости от размера файла. Небольшие файлы объемом менее 1 МБ шифруются полностью, а большие файлы объемом более 1 МБ шифруются только в первых сегментах по 1 МБ. Этот метод обеспечивает уровень защиты, аналогичный полному шифрованию, но значительно увеличивает скорость обработки. Такой подход позволяет злоумышленнику повредить как можно больше файлов за короткий промежуток времени, уменьшая возможность восстановления и укрепляя его позицию на переговорах.

После завершения всех процессов шифрования вредоносная программа выполняет постобработку. Сначала создается пустой маркерный файл по пути C:\runfinish.exe для записи статуса завершения процесса шифрования. Этот маркер используется как контрольная точка, чтобы предотвратить дублирование шифрования в той же системе и избежать ненужного повторного шифрования. Затем вызывается команда cmd /c start shutdown -r -f -t 10 для планирования принудительной перезагрузки через 10 секунд. Флаг -r используется для перезагрузки системы, -f - для принудительного завершения всех запущенных пользовательских процессов, а опция -t 10 добавляет задержку в 10 секунд, сводя к минимуму время для реакции пользователя. При выполнении команда start отделяет процесс в独立的льный контекст, позволяя команде перезагрузки выполняться независимо, даже если основной процесс завершен.

Независимо от успеха перезагрузки, процедура самоудаления всегда выполняется. В частности, она включает использование команды timeout /T 3 для ожидания в течение 3 секунд перед выполнением команды del. Это также involves вызов cmd.exe в качестве独立льного процесса и его асинхронное выполнение. В результате, даже если система фактически перезагружается, процесс продолжает работать и запускает самоудаление, удаляя вредоносный исполняемый файл с диска. Это затрудняет для security personnel или аналитиков сбор образцов на месте после перезагрузки, а также получение исходного файла вредоносной программы в процессе судебно-технической экспертизы.

Сообщение с требованием выкупа создается под именем “HowToRecoveryFiles.txt”. Поскольку сообщение создается в пути после завершения процесса шифрования определенной папки, оно появляется во всех папках системы. В сообщении указаны вшитые roomID и имя пользователя, которые совпадают с названием пострадавшей компании, что свидетельствует о том, что взлом был осуществлен до выполнения ransomware. Злоумышленники также загружают часть похищенных файлов на бесплатные файлообменные сайты, обеспечивая к ним доступ и используя это как доказательство реального хищения данных для шантажа жертвы.

Несмотря на то, что группа появилась лишь в мае 2025 года, Dire Wolf уже активно атакует компании по всему миру. Они представляют высокую угрозу для любой организации с уязвимыми системами, независимо от отрасли, включая производство, IT, строительство и финансы. Технически Dire Wolf выполняет шифрование файлов, комбинируя обмен ключами на основе Curve25519 с потоковым шифрованием ChaCha20. В этом процессе для каждого файла генерируется случайный сеансовый ключ, а вшитый публичный ключ злоумышленника и общий секрет используются для получения ключа шифрования. Ключ затем пропускается через SHA-256 и используется как ключ шифрования и nonce, в конечном счете пораженному файлу добовляется расширение .direwolf. Эта конструкция эффективно блокирует все известные методы дешифрования, оставляя жертвам единственный способ восстановления - переговоры с злоумышленниками. Dire Wolf также выходит за рамки шифрования файлов, активно применяя методы против восстановления и анализа. Он проактивно завершает процессы и службы резервного копирования и восстановления (такие как Veeam, Veritas, MSSQL, Exchange и security solutions), удаляет журналы событий и отключает среды восстановления с помощью команд wevtutil, wbadmin и bcdedit. После завершения шифрования он пытается вызвать принудительную перезагрузку с помощью команды shutdown -r -f -t 10 и удаляет вредоносный исполняемый файл с помощью процедуры самоудаления, значительно снижая вероятность проведения судебно-технической экспертизы и восстановления malware.

MD5

• 333fd9dd9d84b58c4eef84a8d07670dd
• 44da29144b151062bce633e9ce62de85
• aa62b3905be9b49551a07bc16eaad2ff
• bc6912c853be5907438b4978f6c49e43