Новая группа вымогателей Dire Wolf атакует глобальные секторы: детальный анализ тактики и угрозы

APT

В мае 2025 года на киберпреступной арене появилась новая группа вымогателей Dire Wolf, быстро заявившая о себе серией атак на международные компании. Исследователи Trustwave SpiderLabs впервые получили образец вредоносного ПО этой группы, раскрывший ключевые детали её функционирования. С момента обнаружения Dire Wolf провела целенаправленные атаки в 11 странах, уделяя особое внимание производственному и технологическому секторам.

Описание

Группа использует тактику двойного шантажа: шифрует файлы жертв и угрожает публикацией украденных данных, что увеличивает риски не только утраты информации, но и репутационного ущерба. На момент публикации на сливном сайте группы числятся 16 жертв, среди которых лидируют компании из США, Таиланда и Тайваня. Производственные предприятия составили 35% атакованных организаций, а технологический сектор - 25%, что отражает стратегический выбор целей для максимального финансового давления.

Технический анализ образца, проведённый Trustwave, выявил несколько тревожных особенностей. Изначально вредоносное ПО упаковано с помощью UPX - распространённого инструмента обфускации, затрудняющего статический анализ.

После распаковки стало очевидно, что Dire Wolf написан на Golang, языке, набирающем популярность среди киберпреступников из-за кроссплатформенности и проблем с его детекцией антивирусами. При запуске программа проверяет наличие файла-маркера runfinish.exe в корне диска С и мьютекса Global\direwolfAppMutex, чтобы избежать повторного шифрования. Если система уже заражена, ПО самоудаляется через команду cmd /C timeout /T 3 & del /f /q <path_to_self> & exit.

После прохождения проверок Dire Wolf переходит к эскалации привилегий: отключает журналы событий Windows, убивая процесс eventlog, и целенаправленно останавливает 75 критических служб, включая антивирусные решения Sophos, Symantec и Qihoo 360. Для этого используется комбинация вызовов ControlService и команд sc stop <service name>, после чего службы необратимо отключаются через sc config <service-name> start= disabled. Параллельно завершаются 59 процессов, связанных с базами данных (sqlservr.exe, oracle.exe), офисными приложениями (excel.exe, powerpnt.exe) и инструментами резервного копирования (veeam, wbadmin).

Следующая фаза атаки - уничтожение резервных копий и восстановительных точек. Dire Wolf выполняет серию деструктивных команд: vssadmin delete shadows /all /quiet и wmic shadowcopy delete для удаления теневых копий; wbadmin disable backup и wbadmin delete catalog для ликвидации системных бэкапов; bcdedit /set {default} recoveryenabled No для блокировки восстановления ОС.

Дополнительно очищаются журналы безопасности через wevtutil cl security и аналогичные команды для логов приложений и системы. Шифрование реализовано гибридным методом с использованием Curve25519 для ключей и ChaCha20 для данных. Программа избегает обработки системных файлов (.exe, .dll, .sys), но атакует все остальные, добавляя расширение .direwolf.

Каждая жертва получает персонализированную записку с выкупом, содержащую уникальный roomID, логин и пароль для доступа в чат-комнату переговоров. Это подтверждает целевой характер атак: злоумышленники предварительно изучают инфраструктуру, а для доказательства утечки загружают образцы документов на gofile.io. После шифрования программа самоуничтожается и перезагружает систему.

На своём сайте Dire Wolf демонстрирует 15 подтверждённых жертв, пять из которых ожидают публикации данных в конце июня. Группа устанавливает жёсткие сроки: после утечки образцов файлов у организаций есть около месяца на оплату выкупа, прежде чем весь объём данных появится в открытом доступе. Известен случай требования $500 000. На странице "О нас" группа подчёркивает финансовую мотивацию, дистанцируясь от политики, а для связи указывает qTox ID и заявляет о базировании в Нью-Йорке, хотя это, вероятно, дезинформация.

Индикаторы компрометации

URLs

  • http://direwolfcdkv5whaz2spehizdg22jsuf5aeje4asmetpbt6ri4jnd4qd.onion

MD5

  • A71dbf2e20c04da134f8be86ca93a619
  • aa62b3905be9b49551a07bc16eaad2ff

SHA1

  • 4a5852e9f9e20b243d8430b229e41b92949e4d69
  • Ed7c9fbd42605c790660df86b7ec325490f6d827

SHA256

  • 27d90611f005db3a25a4211cf8f69fb46097c6c374905d7207b30e87d296e1b3
  • 8fdee53152ec985ffeeeda3d7a85852eb5c9902d2d480449421b4939b1904aad

QTox ID

  • B344BECDC01A1282F69CB82979F40439E15E1FD1EF1FE9748EE467F5869E2148E6F1E55959E2
Комментарии: 0