$1 млн за компромат на руководство
Миллион долларов преступники готовы сами платить инсайдерам за компрометирующую информацию о компании и ее топ-менеджерах.
Эксперты Лаборатории цифровой криминалистики компании F.A.C.C.T. обнаружили новую преступную группу вымогателей, называющей себя Werewolves (оборотни). Злоумышленники создали собственный DLS-сайт на русском и английском языках, где выкладывают данные об атакованных компаниях. С мая по октябрь 2023 года в списке их жертв значится 21 компания, причем 15 и них российские — это микрофинансовые организации, предприятия нефтегазового сектора, отели, IT-компании. Пик атак “оборотней” в России пришелся на сентябрь-октябрь этого года: были атакованы как минимум 11 российских компаний, суммы требуемого выкупа колеблются от $130 000 до $ 450 000. Рекордную сумму выкупа в $1 млн злоумышленники рассчитывают получить от российского банка, угрожая публикацией данных объемом 120 ТБ.
Одну из своих первых атак Werewolves, вероятно, совершили еще в октябре 2022 года в Западной Африке, на поставщика электроэнергии Electricity Company of Ghana, ECG — ссылку на публикацию в местной прессе атакующие сами разместили на своем сайте. Кроме них, в списке жертв есть итальянские и голландские компании.
Werewolves активно использует технику "double extortion" — двойного давления на жертву: кроме вымогательства за расшифровку данных злоумышленники выкладывают на собственном DLS информацию компаний-жертв, отказавшихся платить выкуп. Справка о компании включает уничижительные характеристики об уровне информационной безопасности жертв: “ Данные клиентов и гостей не защищены”, “Халатное отношение и хранению информации”,” Устаревшие сервера и оборудование”.
В качестве начального вектора атакующие используют слабозащищенные публичные сервисы жертвы, а шифруют данные компании с помощью версии программы-вымогателя LockBit3 (Black), собранной на основе появившегося в публичном пространстве исходного кода. Кроме того, атакующие используют в атаках утекший инструментарий криминальной IT-корпорации вымогателей Conti, на счету которых было более 850 жертв — корпорации, госведомства и целое государство — Коста-Рика.
Судя по сообщениям на сайте, группа активно раскручивает свою собственную партнерскую программу, рекрутируя новых "вольных пентестеров", а кроме того разыскивают инсайдеров внутри компании, которые могли бы сообщить компромат на руководство за вознаграждение в $1 млн.
"Вообще, по степени самолюбования на грани нарциссизма и обилию саморекламы можно сделать вывод, что хакеры-хактивисты Werewolves не вышли еще подросткового возраста. В отличие от матерых вымогателей “оборотни” стараются привлечь к себе как можно больше внимания исследователей, например, название их группы явно навеяно таксономией одной отечественной ИБ-компании, обозначающему операторов шифровальщиков “волчьими” названиями”, — подчеркивают эксперты Лаборатории цифровой криминалистики компании F.A.C.C.T.