Неугомонный VasyGrek: F6 изучила атаки злоумышленника в августе-ноябре 2025 года
Изображение: recraft
Аналитики F6 Threat Intelligence изучили новую волну атак VasyGrek.
VasyGrek (Fluffy Wolf) — русскоязычный злоумышленник, атакующий российские компании из различных сфер экономики как минимум с 2016 года. Кибератаки проводились с использованием вредоносного программного обеспечения через рассылки на бухгалтерскую тематику и фишинговые домены, которые, как правило, имитировали сайты финансовых организаций.
После публикации исследования F6 VasyGrek отказался от использования ВПО BurnsRAT, но характерные особенности атак оставались прежними: массовые фишинговые рассылки на бухгалтерскую тематику, домены-имитации финорганизаций и доставка различного ВПО на системы жертв.
Ключевые изменения: вместо продавца ВПО Mr.Burns VasyGrek стал на постоянной основе пользоваться инструментами с хак-форумов от продавца PureCoder; был также замечен в использовании шифровальщика Pay2Key, активно распространяемого в этом году в формате RaaS, а в ноябре 2025 года VasyGrek изменил цепочку атаки, в которой вместо PureCrypter стал использоваться другой загрузчик.
В ноябрьских цепочках атак в качестве вложений писем вместо архивов с исполняемым файлом внутри стали использоваться архивы с файлами VBS и BAT. Для доставки полезной нагрузки PureHVNC вместо привычного PureCrypter использовался другой загрузчик — PowerShell-based stego downloader. Ранее его замечали у различных злоумышленников, в том числе у Sticky Werewolf, но атрибуция здесь однозначно указывает на VasyGrek: формат писем, домен для загрузки ВПО и итоговая нагрузка.
Анализ одного из вредоносных семплов VasyGrek на Malware Detonation Platform F6.
За рассматриваемый период под удар попали компании из промышленности, энергетики, финансов, ИТ, медиа, торговли и других сфер. Цель злоумышленника — доступ к конфиденциальным данным и дальнейшее их использование.
Подробный разбор новой цепочки атаки и графовый анализ инфраструктуры VasyGrek — в блоге F6.
