Dire Wolf: анализ шифровальщика и тактики вымогателей

Директорский отчет выявил появление новой финансово мотивированной группы вымогателей под названием Dire Wolf, которая впервые зафиксирована в мае 2025 года. Группа быстро утвердила своё присутствие за счёт агрессивных атак и использования сайта утечки информации в Dark Web для взаимодействия с жертвами. Ее деятельность нацелена на организации в разных отраслях, с заметной концентрацией в Азии.
Характер и мотивация
Dire Wolf — это профессионально организованная криминальная структура, ориентированная исключительно на извлечение прибыли, в отличие от политически мотивированных акторов. Группа использует продвинутые тактики программ-вымогателей, сочетая саботаж операционных возможностей и эффективное шифрование для максимального давления на жертв.
«профессиональный подход, ориентированный исключительно на получение прибыли»
Операционная методология и техники
Операционная модель Dire Wolf включает в себя тщательное планирование и набор мер, направленных на повышение вероятности получения выкупа и снижение шансов успешного восстановления систем:
- Использование маркера (marker file) и проверки мьютекса — защита от многократного выполнения в одной системе; при обнаружении предыдущих запусков вредоносное ПО может инициировать самоудаление.
- Отключение параметров восстановления и уничтожение следов: выключение службы журнала событий Windows и удаление shadow copies с помощью встроенных утилит, таких как vssadmin и wevtutil.
- Широкий «список уничтожения» процессов корпоративных сервисов: завершение процессов серверов баз данных, платформ электронной почты и решений для резервного копирования перед началом шифрования, чтобы помешать восстановлению и обезопасить ход шифрования.
- Комбинация саботажа и шифрования для усиления давления на организацию и принуждения к оплате выкупа.
Техническая реализация
Технический дизайн вредоносной нагрузки направлен на кросс‑платформенность и усложнение статического анализа:
- Язык реализации полезной нагрузки — Go, что обеспечивает гибкость и переносимость.
- Упаковка при помощи UPX для затруднения обнаружения и статического анализа.
- Криптография: гибридный подход — обмен ключами через Curve25519, шифрование файлов с помощью ChaCha20 и получение ключей через SHA-256. Такой подход позволяет быстро шифровать файлы: полное шифрование для небольших файлов и частичное — для больших.
Пост-шифровочные действия и вымогательство
По завершении шифрования Dire Wolf размещает в каждом затронутом каталоге уведомление о выкупе, где указываются данные для доступа конкретной жертвы к порталу переговоров в Tor, крайние сроки оплаты и угрозы публикации украденных данных. Дополнительно группа использует сайт утечки в Dark Web для давления и коммуникации с жертвами.
Рекомендации по защите
Из-за многообразия применяемых техник организациям рекомендуется применять многоуровневую стратегию защиты:
- Укрепление контроля доступа и сегментации сети, чтобы ограничить распространение шифровальщика.
- Резервное копирование с защитой от удаления и отключения: хранение копий оффлайн/в неизменяемых хранилищах.
- Контроль целостности и мониторинг событий: защита журналов и предотвращение их отключения.
- Планирование восстановления — проактивное и многоуровневое, с учётом того, что группа способна сделать традиционные методы восстановления неэффективными.
- Обновление средств детекции, учёт упаковки UPX и специфики полезной нагрузки на Go при настройке EDR/AV.
Вывод
Dire Wolf представляет собой угрозу с высокой степенью организованности и профессионализма, ориентированную на максимизацию прибыли за счёт комбинации саботажа, продвинутого шифрования и методов сокрытия следов. Организациям необходимо пересмотреть подходы к резервному копированию, мониторингу и планам восстановления, чтобы снизить риски, связанные с этой группой.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



