Она атаковала российские компании и делала это новым недорогим ВПО
Злоумышленники атаковали российские организации фишинговыми письмами с требованием погасить задолженность. Они использовали недорогие вредоносные инструменты, а также распространяли ссылки на репозитории GitHub
C марта по май 2026 года специалисты BI.ZONE Threat Intelligence зафиксировали серию фишинговых атак кластера Fluffy Wolf. Целями злоумышленников стали российские организации из различных отраслей: строительства, консалтинга, обрабатывающей промышленности, инжиниринга, розничной торговли и электронной коммерции.
В фишинговых рассылках кластер выдавал себя за партнеров или подрядчиков компании-жертвы. Атакующие предлагали погасить финансовую задолженность и ознакомиться с «документами», приложенными к письму. Среди них был файл с реквизитами для оплаты, а также файл с претензией и требованием погасить долг.
Выявлено два типа фишинговых писем: с вложением в виде RAR-архива с ВПО и со ссылкой на GitHub-репозиторий атакующих, откуда загружался RAR-архив с ВПО. В архиве находились вредоносные загрузчики и дропперы, предназначенные для доставки в целевую систему стилера PureLogs, трояна удаленного доступа PureRAT и шифровальщика Pay2Key.
Стоит отметить, что злоумышленники не разрабатывали ВПО самостоятельно, а покупали инструменты на теневых площадках. Например, цена за годовую подписку на PureCrypter составляет 449 долларов, PureLogs — 1250, PureRAT — 1499.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence, говорит: «В новой кампании группировка снизила затраты на реализацию атаки: загрузчик PowerLoader обошелся ей примерно в 120 долларов. Суммарная стоимость всего арсенала ВПО оценивается в несколько тысяч долларов. В случае успешной атаки кластер может получить огромную прибыль. Так, в 2025 году средняя сумма, которую атакующие требовали у жертв в качестве выкупа за восстановление доступа к данным, составила 193 тыс. долларов».
Кластер Fluffy Wolf сохранил привычный набор ВПО, но разнообразил методы доставки. Киберпреступники использовал плагин PluginRemoteDesktop для PureRAT, ранее не встречавшийся в атаках на российские организации. Также злоумышленники приобрели загрузчик PowerLoader, чтобы повысить эффективность проникновения и обхода систем защиты.
Еще одна интересная особенность — использование ссылок на репозитории GitHub в фишинговых письмах. Благодаря тому, что ссылки выглядели легитимно, вероятность перехода жертвы по вредоносному адресу увеличивалась. С их помощью злоумышленники обходили почтовые фильтры и сетевые средства защиты.
По данным исследования Threat Zone 2026, в прошлом году 64% целевых атак начинались именно с фишинговых писем. В 2024 году этот показатель был ниже и составлял 57%.
Чтобы минимизировать риск подобных атак, рекомендуем использовать решения для защиты почты. Например, BI.ZONE Mail Security проводит многоуровневый анализ письма, включающий выявление нетипичных паттернов в теле сообщения, анализирует ссылки и вложения, а также сопоставляет технические индикаторы с поведением сообщения в почтовом потоке.
Чтобы защитить организацию от кибератак, необходимо использовать комплексный подход. Порталы киберразведки, такие как BI.ZONE Threat Intelligence, предоставляют подробные данные об актуальных угрозах, злоумышленниках, их тактиках, техниках, инструментах и эксплуатируемых уязвимостях.
О компании
BI.ZONE — компания по управлению цифровыми рисками, которая помогает организациям безопасно развивать бизнес в киберпространстве. BI.ZONE разрабатывает собственные продукты для обеспечения устойчивости IT‑инфраструктур любого размера и оказывает широкий спектр услуг по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 года компания реализовала более 1800 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других, защитив свыше 900 клиентов.
