Dire Wolf: анализ новой угроза двойного вымогательства в 2025 году

Группа программ-вымогателей Dire Wolf: новая угроза для мирового производства и технологий

В мае 2025 года стала известна новая хакерская группа — Dire Wolf, специализирующаяся на атаках программ-вымогателей. За короткое время она получила широкое распространение и проявила высокую активность, особенно в производственном и технологическом секторах. Основные поражённые регионы — Соединённые Штаты и Таиланд. К марту 2026 года, согласно исследованию Trustwave SpiderLabs, жертвами команды стали 16 организаций из 11 стран.

Техника двойного вымогательства

Dire Wolf применяет так называемый метод double extortion, при котором пострадавшим не только шифруются файлы, но и угрожают раскрытием конфиденциальной информации. Такой подход значительно повышает давление на жертв, заставляя их чаще идти на уступки и производить выплаты выкупа.

Техническая сторона программы-вымогателя

Анализ образца вредоносного ПО, полученного посредством Virustotal Hunting, выявил ряд важных характеристик:

• Программа обфусцирована с помощью UPX — популярного средства сжатия и маскировки.
• Написана на языке программирования Golang, что даёт высокую мобильность и устойчивость к обнаружению традиционными антивирусными решениями.
• В процессе запуска выполняет проверки на наличие других экземпляров и уже заражённых систем, используя для этого файл-маркер runfinish.exe и мьютекс GlobaldirewolfAppMutex. При обнаружении повторного запуска вредоносное ПО самоудаляется.

Обход систем безопасности

Далее программа отключает ведение журнала событий Windows и принудительно завершает ключевые процессы, включая ряд антивирусных сервисов. Для увеличения эффективности она использует стандартные системные утилиты, такие как:

• Powershell — для исполнения команд;
• vssadmin — для удаления теневых копий, что препятствует восстановлению данных;
• wevtutil — для очистки журналов событий.

Механизм шифрования и тактика вымогательства

Вредонос использует криптографическую схему, комбинируя алгоритмы Curve25519 и ChaCha20. Все зашифрованные файлы получают расширение .direwolf, за исключением системных файлов с безопасностными расширениями.

В записке с требованиями выкупа содержатся уникальные учетные данные для входа в чат переговоров — это свидетельствует о персонализированном подходе группы к каждой жертве и попытках установить связь для дальнейших требований.

Рекомендации и защита

Хотя способы проникновения и методы бокового перемещения Dire Wolf остаются неизвестны, эксперты Trustwave настоятельно рекомендуют организациям придерживаться следующих мер:

• Внедрение комплексных методов кибербезопасности и регулярное обновление ПО;
• Поведенческий мониторинг и своевременное выявление необычных активностей;
• Использование специализированных правил обнаружения, разработанных на основе исследования Trustwave SpiderLabs;

Данные рекомендации помогут снизить риски успешных атак и минимизировать возможный ущерб, связанный с новыми, быстро развивающимися угрозами со стороны программ-вымогателей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.