Специалисты BI.ZONE Threat Intelligence обнаружили ранее неизвестную группировку Fluffy Wolf. Она активна с 2022 года и инициировала не менее 140 атак на российские компании. У злоумышленников невысокий уровень технической подготовки, но для достижения целей они используют инструменты для удаленного доступа и недорогое коммерческое ВПО. Чтобы получить первоначальный доступ к инфраструктуре, киберпреступники рассылают фишинговые письма с вложениями, замаскированными под акты сверки.
Для мошенников преимущество такой схемы заключается в ее простоте, низкой себестоимости, а также эффективности: по данным BI.ZONE, около 5% сотрудников российских компаний открывают вредоносные вложения и переходят по ссылкам из фишинговых писем. При этом обеспечить большое покрытие рассылки не составляет технической сложности, а даже одного такого открытого письма достаточно для компрометации целой инфраструктуры. По этой причине фишинг используется в 68% всех целевых атак на организации.
В одной из последних кампаний злоумышленники от имени строительной организации рассылали фишинговые письма с темой "Акты на подпись". К письму прилагался архив, в названии которого был пароль, а внутри - вредоносный файл под видом документа. Когда пользователь его открывал, на устройство устанавливались две программы: Meta Stealer - коммерческое ВПО, предназначенное для кражи данных, а также средство удаленного доступа Remote Utilities. Так преступники получали полный контроль над компьютером жертвы и могли отслеживать действия пользователя, передавать файлы, выполнять команды, работать с диспетчером задач.
Хакерские группировки крадут аутентификационные данные с разными целями, например, ради перепродажи доступов другим киберпреступникам. Те применяют полученную информацию для атак по различным сценариям, в том числе используют шифровальщики и требуют выкуп за восстановление доступа к инфраструктуре. В 2023 году максимальная сумма выкупа, которую злоумышленники пытались запросить у российской компании, составила 5 млн долларов.