Неугомонный VasyGrek: F6 изучила атаки злоумышленника в августе-ноябре 2025 года

Аналитики F6 Threat Intelligence изучили новую волну атак VasyGrek.

VasyGrek (Fluffy Wolf) — русскоязычный злоумышленник, атакующий российские компании из различных сфер экономики как минимум с 2016 г. Кибератаки проводились с использованием вредоносного программного обеспечения через рассылки на бухгалтерскую тематику и фишинговые домены, которые, как правило, имитировали сайты финансовых организаций.

После публикации исследования F6 VasyGrek отказался от использования ВПО BurnsRAT, но характерные особенности атак оставались прежними: массовые фишинговые рассылки на бухгалтерскую тематику, домены-имитации финорганизаций и доставка различного ВПО на системы жертв.

Ключевые изменения: вместо продавца ВПО Mr.Burns VasyGrek стал на постоянной основе пользоваться инструментами с хак-форумов от продавца PureCoder, был также замечен в использовании шифровальщика Pay2Key, активно распространяемого в этом году в формате RaaS, а в ноябре 2025 г. VasyGrek изменил цепочку атаки, в которой вместо PureCrypter стал использоваться другой загрузчик.

В ноябрьских цепочках атак в качестве вложений писем вместо архивов с исполняемым файлом внутри стали использоваться архивы с файлами VBS и BAT. Для доставки полезной нагрузки PureHVNC вместо привычного PureCrypter использовался другой загрузчик — powershell-based stego downloader. Ранее его замечали у различных злоумышленников, в том числе у Sticky Werewolf, но атрибуция здесь однозначно указывает на VasyGrek: формат писем, домен для загрузки ВПО и итоговая нагрузка.

За рассматриваемый период под удар попали компании из промышленности, энергетики, финансов, ИТ, медиа, торговли и других сфер. Цель злоумышленника — доступ к конфиденциальным данным и дальнейшее их использование.