Специалисты BI.ZONE Threat Intelligence обнаружили ранее неизвестную группировку Fluffy Wolf. Она активна как минимум с 2022 года и инициировала не менее 140 атак на российские компании. У этих злоумышленников невысокий уровень технической подготовки, но для достижения целей им достаточно использовать два средства: легитимные инструменты для удаленного доступа и недорогое коммерческое ВПО. Чтобы получить первоначальный доступ к инфраструктуре, киберпреступники рассылают фишинговые письма с вложениями, замаскированными под акты сверки.
Для злоумышленников преимущество такой схемы заключается в ее простоте, низкой себестоимости, а также эффективности: по данным BI.ZONE, около 5% сотрудников российских компаний открывают вредоносные вложения и переходят по ссылкам из фишинговых писем. При этом обеспечить большое покрытие рассылки не составляет технической сложности, а даже одного такого открытого письма достаточно для компрометации целой инфраструктуры. Именно поэтому фишинг используется в 68% всех целевых атак на организации.
В одной из последних кампаний злоумышленники от имени строительной организации рассылали фишинговые письма с темой «Акты на подпись». К письму прилагался архив, в названии которого был пароль, а внутри — вредоносный файл под видом документа. Когда пользователь его открывал, на устройство устанавливались две программы: Meta Stealer — коммерческое ВПО, предназначенное для кражи данных, а также легитимное средство удаленного доступа Remote Utilities. Так преступники получали полный контроль над компьютером жертвы и могли отслеживать действия пользователя, передавать файлы, выполнять команды, работать с диспетчером задач.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence:
«Злоумышленники приобретают Meta Stealer на теневых форумах или в специальном телеграм-канале. Арендовать стилер на месяц можно за 150 долларов, приобрести постоянную лицензию — за 1000. Стоимость лицензий на легитимное ПО Remote Utilities зависит от задач покупателя и варьируется от 29 до 12 000 долларов, но есть возможность воспользоваться бесплатной базовой версией. Все это делает себестоимость атаки крайне низкой.
Коммерческое ВПО позволяет реализовывать успешные атаки даже злоумышленникам с невысоким уровнем подготовки. Это серьезно расширяет ландшафт угроз для компаний из России и СНГ.
Meta Stealer представляет собой клон популярного стилера RedLine и позволяет собирать разные виды информации, в том числе учетные данные и cookie из Chromium- и Firefox-подобных браузеров, а также данные из бесплатной программы для подключения к FTP-серверу FileZilla, криптокошельков и VPN-клиентов. Однако, в отличие от RedLine, разработчики Meta Stealer не запрещают использовать его в атаках на организации из России и других стран СНГ».
Ранее Fluffy Wolf также применяла другие вредоносные программы, в том числе платный троян удаленного доступа WarZone RAT, который позволял злоумышленникам получить контроль над компьютером жертвы. В некоторых случаях преступники устанавливали на скомпрометированные устройства майнер XMRig — программный инструмент для добычи криптовалют.
Группировки крадут аутентификационные данные с разными целями, например ради перепродажи доступов другим киберпреступникам. Те применяют полученную информацию для атак по различным сценариям, в том числе используют шифровальщики и требуют выкуп за восстановление доступа к инфраструктуре. В 2023 году максимальная сумма выкупа, которую злоумышленники пытались запросить у российской компании, составила 5 миллионов долларов.
Чтобы максимально обезопасить компанию от атак, выстроенных по схеме Fluffy Wolf, необходимо сочетать несколько классов решений. Сервисы для фильтрации нежелательной почты помогут защититься от фишинга. Если фишинговая ссылка все же попадет к пользователю и он попытается перейти на вредоносный домен, современные решения для защиты DNS-трафика не дадут установить соединение с сервером злоумышленников. Такие решения интегрированы с платформами киберразведки (threat intelligence, TI) и получают оттуда актуальную информацию о вредоносных доменах.
Платформы TI предоставляют актуальные данные о ландшафте угроз: активности группировок, тактиках и техниках злоумышленников, применяемом ВПО и эксплуатируемых уязвимостях. Эту информацию компании используют для выстраивания кибербезопасности и принятия стратегических решений.