Обновление контента на портале BI.ZONE Threat Intelligence: февраль 2026 г.

Команда BI.ZONE Threat Intelligence представляет ежемесячный дайджест, посвященный обновлению данных на портале и изменению ландшафта угроз

11 марта 2026 г.

Новое на портале

6 профилей атакующих.
49 отчетов об атаках на российские организации.
5 инструментов атакующих.
4 семейства ВПО.
460 тыс. индикаторов компрометации.
4 новых источника данных.
41 отчет, посвященный активности на теневых ресурсах.
100 млн+ скомпрометированных учетных записей.

Изменения ландшафта киберугроз

Наиболее активные злоумышленники

Rare Werewolf.
Fairy Wolf.
Vortex Werewolf.

Прочие активные кластеры: Squid Werewolf, Resourceful Wolf, Rainbow Hyena, Hoody Hyena, Paper Werewolf, Lenient Wolf, Larcenous Werewolf, Scaly Wolf.

Рост активности

По сравнению с данными за февраль, на 250% выросло количество атак с использованием загрузчика-инжектора BlackHawk. Он доставлялся в систему загрузчиками, написанными с помощью генеративного ИИ (вайб‑кодинг). В прошлом месяце атакующие внедряли через BlackHawk следующую вредоносную нагрузку:

VipKeylogger,
Phantomstealer,
XWorm,
Formbook.

Снижение активности

Vengeful Wolf — на 60% меньше атак по сравнению со среднемесячными значениями.
Vortex Werewolf — на 60% уменьшилась активность по сравнению с прошлым месяцем.

Возобновление активности

Resourceful Wolf атаковал российскую логистическую компанию через компрометацию Redis и установку ботнета P2Pinfect.

Наиболее распространенные семейства ВПО

Remcos RAT.
Formbook.
PhantomStealer.
XWorm.

Наиболее распространенные инструменты

AnyDesk.
Ngrok.
Cobalt Strike.

Прочие события

Scaly Wolf возобновил активность: кластер наращивает кампании по распространению ВПО ScalyLoader, на этот раз маскируясь под Главную военную прокуратуру РФ.
Lenient Wolf эксплуатирует уязвимость CVE‑2026‑23760 для обхода аутентификации и распространения программы‑вымогателя Warlock.
Rainbow Hyena провел кампанию по распространению ВПО HeartDoorLite против российских предприятий.
Larcenous Werewolf распространяет ВПО под видом документов налоговых ведомств.
Злоумышленники используют фреймворк постэксплуатации Brute Ratel C4 против целей из России.
Атакующие скомпрометировали цепочку поставок обновлений популярного текстового редактора Notepad++.

Информация с портала BI.ZONE Threat Intelligence поможет выстраивать эффективную киберзащиту и быстро реагировать на киберинциденты. Базовые сведения о кластерах активности — в бесплатной версии решения.