Атака кибершпионов на российскукю энергетику

Согласно исследованию Threat Zone 2025, которое освещает киберугрозы в России и СНГ, энергетика вошла в число десяти наиболее атакуемых отраслей за 2024 год. Более половины атакующих группировок, нацеленных на ТЭК, действуют в интересах кибершпионажа.

Притворяться рекрутерами кибершпионские кластеры решаются крайне редко — это происходит менее чем в одном проценте всех зафиксированных случаев. Обычно злоумышленники предпочитают выдавать себя за представителей регулирующих органов или государственных структур. Однако за последние месяцы уже вторая кампания проводится под прикрытием HR-сообщений. В конце 2024 года группировка Sqiud Werewolf использовала похожий сценарий, рассылая фишинговые письма с предложением высокооплачиваемой работы.

Руководитель BI.ZONE Threat Intelligence Олег Скулкин сообщил, что в феврале 2025 года специалисты выявили новую активность кластера Sapphire Werewolf. В рамках этой кампании злоумышленники попытались получить доступ к IT-инфраструктуре энергетической компании с целью скрытого сбора данных. Для этого они рассылали письма, замаскированные под внутренние уведомления от отдела кадров. Вложения содержали обновлённую версию вредоносной программы Amethyst — стилера, способного извлекать данные аутентификации из Telegram, браузеров, конфигурационные файлы удалённого доступа и другие документы.

Это не первое появление Sapphire Werewolf на киберугрозовом горизонте. В течение 2024 года группа уже атаковала российские организации, работающие в сфере образования, информационных технологий, оборонно-промышленного комплекса и аэрокосмической отрасли. Тогда использовался модифицированный вредонос SapphireStealer. В новой атаке вредонос получил значительные усовершенствования — в него добавлены функции по проверке наличия виртуальной среды исполнения и симметричный алгоритм шифрования Triple DES, что усложняет анализ кода и повышает его устойчивость к защитным системам.

Как и ранее, начальным вектором атаки стали фишинговые письма. Эффективной мерой против таких угроз остаются системы фильтрации электронной почты. Для выстраивания надёжной защиты организациям важно отслеживать актуальные тактики злоумышленников и инструменты, которые они используют. Эти сведения позволяют компаниям действовать на опережение и оперативно реагировать на возможные инциденты.