В период с марта по май 2026 года хакерская группировка Fluffy Wolf провела серию атак на российские компании из различных отраслей, включая строительство и e-commerce.
Основным методом взлома стала рассылка фишинговых писем. Злоумышленники маскировались под партнёров организаций и отправляли сообщения с финансовыми претензиями, к которым прилагались вредоносные архивы или ссылки на GitHub-репозитории.
Использование GitHub позволяет киберпреступникам обходить почтовые фильтры, так как такие ссылки вызывают доверие у пользователей и систем защиты. Внутри архивов находились инструменты для доставки вредоносного ПО: шифровальщика Pay2Key и программных продуктов семейства Pure (PureLogs, PureRAT), которые группа закупает в даркнете по модели Malware-as-a-Service (MaaS), не разрабатывая собственное ПО.
В новой кампании арсенал группировки пополнился недорогим загрузчиком PowerLoader (стоимостью около $120). Он скрытно запускает PowerShell, скачивает утилиту PureCrypter и разворачивает финальную полезную нагрузку. По данным BI.ZONE Threat Intelligence, при средней сумме выкупа в $193 000 затраты злоумышленников на атаку составляют всего несколько тысяч долларов.
Исследователи выявили новую версию трояна PureRAT, оснащённую плагином удалённого доступа PluginRemoteDesktop. Этот модуль предоставляет полный контроль над рабочим столом жертвы. Также активно применяется стилер PureLogs для кражи учётных данных и информации из браузеров, который теперь отправляет разные типы украденной информации на отдельные URL-адреса для удобства обработки.
Для шифрования данных использовался модифицированный вымогатель Pay2Key (на базе Mimic), добавлявший расширение .ywgulm_p2k к файлам и оставлявший записку с требованием выкупа сразу на трёх языках. Эксперты подчёркивают, что фишинг остаётся главным каналом проникновения в корпоративные сети: доля таких атак выросла с 57% в 2024 году до 64% в прошлом году
Использование GitHub позволяет киберпреступникам обходить почтовые фильтры, так как такие ссылки вызывают доверие у пользователей и систем защиты. Внутри архивов находились инструменты для доставки вредоносного ПО: шифровальщика Pay2Key и программных продуктов семейства Pure (PureLogs, PureRAT), которые группа закупает в даркнете по модели Malware-as-a-Service (MaaS), не разрабатывая собственное ПО.
В новой кампании арсенал группировки пополнился недорогим загрузчиком PowerLoader (стоимостью около $120). Он скрытно запускает PowerShell, скачивает утилиту PureCrypter и разворачивает финальную полезную нагрузку. По данным BI.ZONE Threat Intelligence, при средней сумме выкупа в $193 000 затраты злоумышленников на атаку составляют всего несколько тысяч долларов.
Исследователи выявили новую версию трояна PureRAT, оснащённую плагином удалённого доступа PluginRemoteDesktop. Этот модуль предоставляет полный контроль над рабочим столом жертвы. Также активно применяется стилер PureLogs для кражи учётных данных и информации из браузеров, который теперь отправляет разные типы украденной информации на отдельные URL-адреса для удобства обработки.
Для шифрования данных использовался модифицированный вымогатель Pay2Key (на базе Mimic), добавлявший расширение .ywgulm_p2k к файлам и оставлявший записку с требованием выкупа сразу на трёх языках. Эксперты подчёркивают, что фишинг остаётся главным каналом проникновения в корпоративные сети: доля таких атак выросла с 57% в 2024 году до 64% в прошлом году
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь