F6 проанализировала методы атак VasyGrek на российские компании в конце 2025 года

Специалисты F6 Threat Intelligence проанализировали недавние атаки, проведённые злоумышленником VasyGrek (также известным как Fluffy Wolf) в период с августа по ноябрь 2025 года. VasyGrek атакует российские компании из разных отраслей экономики минимум с 2016 года. Для своих кибератак он использует вредоносное программное обеспечение, рассылает фишинговые письма на бухгалтерскую тематику и создаёт поддельные домены, имитирующие сайты финансовых организаций. После того как F6 опубликовала своё исследование, VasyGrek перестал использовать вредоносное ПО BurnsRAT. Однако основные характеристики его атак остались прежними: массовые фишинговые рассылки, домены-имитации и установка различного вредоносного ПО на компьютеры жертв. Были отмечены следующие изменения в его методах: * Вместо продавца вредоносного ПО Mr.Burns, VasyGrek начал регулярно использовать инструменты, доступные на хакерских форумах, от продавца PureCoder. * Он также применял шифровальщик Pay2Key, который активно распространялся в этом году как сервис для вымогательства (RaaS). * В ноябре 2025 года VasyGrek изменил свою схему атаки, заменив загрузчик PureCrypter на другой. В атаках, проведённых в ноябре, злоумышленник использовал архивы с файлами VBS и BAT вместо архивов с исполняемыми файлами. Для доставки полезной нагрузки PureHVNC он применял загрузчик на основе PowerShell, а не привычный PureCrypter. Ранее этот загрузчик замечали у других злоумышленников, включая Sticky Werewolf, но анализ однозначно указывает на VasyGrek: формат писем, домен для загрузки вредоносного ПО и итоговая нагрузка. За указанный период под удар попали компании из промышленности, энергетики, финансов, ИТ, медиа, торговли и других сфер. Цель атак — получение доступа к конфиденциальным данным и их последующее использование.