Атаки Scaly Wolf на российские предприятия

Компания BI.ZONE сообщила об атаках группировки Scaly Wolf на российские предприятия. Для кражи корпоративных данных преступники применяют стилер White Snake, несмотря на то что разработчик и продавец этой программы запретил использовать ее на территории России и СНГ.

Группировка Scaly Wolf активна с начала лета 2023 г. и инициировала уже не менее 10 кампаний. Хакеры охотились за корпоративными данными, преимущественно выбирая в качестве целей промышленные и логистические компании из России. Последняя атака инициирована в январе 2024 г.

Злоумышленники рассылают фишинговые письма, замаскированные под документы государственных органов, в том числе запросы и требования Роскомнадзора, Следственного комитета РФ и Военной прокуратуры РФ, а также судебные постановления и другие предписания регуляторов. В некоторых случаях вредоносное сообщение оформляли как коммерческое предложение.

Отличительная черта Scaly Wolf – высокий уровень юридической грамотности, с которой составлялись письма и поддельные документы. Во всех случаях текст письма выглядит крайне убедительно и вызывает доверие у пользователей. Это побуждает жертву следовать инструкции из письма и сохранять файл из приложенного архива, где якобы содержатся документы (на самом деле – стилер White Snake).

White Snake позволяет злоумышленникам получать доступ сразу к нескольким корпоративным ресурсам, например электронной почте и CRM-системе. Стилер собирает аутентификационные данные, включая сохраненные в браузере логины и пароли, записывает нажатия клавиш, копирует файлы с зараженного компьютера и обеспечивает удаленный доступ к нему. Программа интегрирована с ботом в Telegram, где злоумышленники получают оповещения о новых зараженных устройствах.

Как отмечают в BI.ZONE Threat Intelligence, ПО White Snake привлекает киберпреступников низкой стоимостью (всего 140 долл. за месяц аренды), простотой в использовании и широкой функциональностью, в частности возможностью красть данные криптокошельков. Несмотря на то что разработчики стилера запретили применять его на территории России и СНГ, группировка Scaly Wolf обошла этот запрет: она отключила функцию, которая немедленно прекращала работу программы, если ее запускали на устройстве с IP-адресом из запрещенных регионов».

Наиболее вероятная мотивация Scaly Wolf, считают в BI.ZONE, – получение выкупа за украденные данные или их перепродажа на черном рынке. Судя по активности группы, ее атаки на российские компании будут продолжаться еще долго и, скорее всего, по той же схеме – с использованием фишинговых писем.