Квалификация киберпреступников — низкая, угроза для компаний — высокая

Коммерческое вредоносное ПО позволяет войти в киберпреступность даже без глубоких технических знаний. Доступность таких решений снижает себестоимость атаки, а использование методов социальной инженерии повышает шансы на успех кампании

1 марта 2024 г.

Специалисты BI.ZONE Threat Intelligence обнаружили ранее неизвестную группировку Fluffy Wolf. Она активна как минимум с 2022 года и инициировала не менее 140 атак на российские компании. У этих злоумышленников невысокий уровень технической подготовки, но для достижения целей им достаточно использовать два средства: легитимные инструменты для удаленного доступа и недорогое коммерческое ВПО. Чтобы получить первоначальный доступ к инфраструктуре, киберпреступники рассылают фишинговые письма с вложениями, замаскированными под акты сверки.

Для злоумышленников преимущество такой схемы заключается в ее простоте, низкой себестоимости, а также эффективности: по нашим данным, около 5% сотрудников российских компаний открывают вредоносные вложения и переходят по ссылкам из фишинговых писем. При этом обеспечить большое покрытие рассылки не составляет технической сложности, а даже одного такого открытого письма достаточно для компрометации целой инфраструктуры. Именно поэтому фишинг используется в 68% всех целевых атак на организации.

В одной из последних кампаний злоумышленники от имени строительной организации рассылали фишинговые письма с темой «Акты на подпись». К письму прилагался архив, в названии которого был пароль, а внутри — вредоносный файл под видом документа. Когда пользователь его открывал, на устройство устанавливались две программы: Meta Stealer — коммерческое ВПО, предназначенное для кражи данных, а также легитимное средство удаленного доступа Remote Utilities. Так преступники получали полный контроль над компьютером жертвы и могли отслеживать действия пользователя, передавать файлы, выполнять команды, работать с диспетчером задач.

Злоумышленники приобретают Meta Stealer на теневых форумах или в специальном телеграм‑канале. Арендовать стилер на месяц можно за 150 долларов, приобрести постоянную лицензию — за 1000. Стоимость лицензий на легитимное ПО Remote Utilities зависит от задач покупателя и варьируется от 29 до 12 000 долларов, но есть возможность воспользоваться бесплатной базовой версией. Все это делает себестоимость атаки крайне низкой.

Коммерческое ВПО позволяет реализовывать успешные атаки даже злоумышленникам с невысоким уровнем подготовки. Это серьезно расширяет ландшафт угроз для компаний из России и СНГ.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

Meta Stealer представляет собой клон популярного стилера RedLine и позволяет собирать разные виды информации, в том числе учетные данные и cookie из браузеров, подобных Chromium и Firefox, а также данные из бесплатной программы для подключения к FTP‑серверу FileZilla, криптокошельков и VPN‑клиентов. Однако в отличие от RedLine разработчики Meta Stealer не запрещают использовать его в атаках на организации из России и других стран СНГ.

Ранее Fluffy Wolf также применяла другие вредоносные программы, в том числе платный троян удаленного доступа WarZone RAT, который позволял злоумышленникам получить контроль над компьютером жертвы. В некоторых случаях преступники устанавливали на скомпрометированные устройства майнер XMRig — программный инструмент для добычи криптовалют.

Группировки крадут аутентификационные данные с разными целями, например ради перепродажи доступов другим киберпреступникам. Те применяют полученную информацию для атак по различным сценариям, в том числе используют шифровальщики и требуют выкуп за восстановление доступа к инфраструктуре. В 2023 году максимальная сумма выкупа, которую злоумышленники запросили у российской компании, составила 5 миллионов долларов.

Чтобы максимально обезопасить компанию от атак, выстроенных по схеме Fluffy Wolf, необходимо сочетать несколько классов решений. Сервис для фильтрации нежелательной почты BI.ZONE CESP поможет защититься от фишинга. Если фишинговая ссылка все же попадет к пользователю и он попытается перейти на вредоносный домен, BI.ZONE Secure DNS не даст установить соединение с сервером злоумышленников. Также это решение для защиты DNS‑трафика интегрировано с платформой киберразведки BI.ZONE Threat Intelligence и получает оттуда актуальную информацию о вредоносных доменах. Еще эта платформа предоставляет актуальные данные о ландшафте угроз: об активности группировок, о тактиках и техниках злоумышленников, применяемом ВПО и эксплуатируемых уязвимостях. Такую информацию компании используют для выстраивания кибербезопасности и принятия стратегических решений.