Xakep #305. Многошаговые SQL-инъекции
Компания FAССT обнаружила новую вымогательскую группировку Werewolves, которая с июня 2023 года активно атакует российские компании, требуя за расшифровку и непубликацию украденных данных выкуп в размере от 130 000 до 1 млн долларов США. Кроме того, преступники сами готовы заплатить инсайдерам до миллиона долларов за компрометирующую информацию о компании и ее топ-менеджерах.
Эксперты рассказывают, что хакеры уже запустили собственный сайт на русском и английском языках, где выкладывают данные об атакованных компаниях. С мая по октябрь 2023 года в списке их жертв значится 21 компания, причем 15 и них российские — это микрофинансовые организации, предприятия нефтегазового сектора, отели, IT-компании.
Пик атак «Оборотней» в России пришелся на сентябрь-октябрь текущего года: были атакованы как минимум 11 российских компаний, суммы требуемого выкупа колеблются от 130 000 до 450 000 долларов США. Рекордную сумму выкупа (миллион долларов США) злоумышленники рассчитывают получить от неназванного российского банка, угрожая публикацией украденных данных объемом 120 ТБ.
Аналитики считают, что одну из своих первых атак Werewolves совершили еще в октябре 2022 года в Западной Африке, на поставщика электроэнергии Electricity Company of Ghana, ECG — ссылку на публикацию в местной прессе атакующие сами разместили на своем сайте. Кроме них, в списке жертв хакеров числятся итальянские и голландские компании.
Отмечается, что Werewolves активно использует технику «двойного вымогательства»: кроме вымогательства за расшифровку данных злоумышленники выкладывают на собственном сайте информацию компаний-жертв, отказавшихся платить выкуп. «Карточки» компаний включают уничижительные характеристики об уровне информационной безопасности жертв: «Данные клиентов и гостей не защищены», «Халатное отношение и хранению информации», « Устаревшие сервера и оборудование» и так далее.
В качестве начального вектора атакующие используют слабозащищенные публичные сервисы жертв, а шифруют данные компании с помощью версии программы-вымогателя LockBit3 (Black), собранной на основе доступных в открытом доступе исходников. Кроме того, хакеры используют в атаках ранее утекший в открытй доступ инструментарий вымогателей Conti.
Судя по сообщениям на сайте группировки, Werewolves активно раскручивает свою собственную партнерскую программу, рекрутируя новых «вольных пентестеров», а также разыскивает инсайдеров внутри компании, которые могли бы сообщить компромат на руководство за вознаграждение в миллион долларов США.
«Вообще, по степени самолюбования на грани нарциссизма и обилию саморекламы можно сделать вывод, что хакеры-хактивисты Werewolves не вышли еще подросткового возраста. В отличие от матерых вымогателей “оборотни” стараются привлечь к себе как можно больше внимания исследователей, например, название их группы явно навеяно таксономией одной отечественной ИБ-компании, обозначающему операторов шифровальщиков “волчьими” названиями», — пишут эксперты FAССT.