Группировка EncryptHub (LARVA-208, Water Gamayun) переключилась с вымогательства на кражу данных, целенаправленно атакуя разработчиков Web3. Мотив — финансовая выгода. Разработчики управляют криптокошельками, имеют доступ к репозиториям смарт-контрактов и тестовым средам. Их фриланс-статус и работа в децентрализованных проектах затрудняют защиту, делая их идеальной мишенью для быстрой монетизации.
Атака EncryptHub начинается с фишинга. Злоумышленники используют поддельные AI-платформы, такие как Norlax AI (имитирующая Teampilot), в качестве приманки. Они рассылают жертвам предложения о работе или запросы на ревью портфолио, перенаправляя на эти фальшивые сайты. На платформе Norlax AI разработчиков обманом заставляют кликнуть на ссылку для «встречи». Также атакующие напрямую рассылают такие ссылки соискателям, откликнувшимся на их вакансии на доске объявлений Web3 Remote3.
Используя хитрость, EncryptHub обходит предупреждения Remote3 о скачивании ПО. Сначала переписка ведется через Google Meet, затем соискателя просят перейти «на собеседование» в Norlax AI. Клик по ссылке в Norlax AI загружает вредоносный софт, замаскированный под настоящий Realtek HD Audio Driver. Загрузчик исполняет команды PowerShell, которые скачивают и запускают троянец-стилер Fickle Stealer.
Fickle Stealer выкачивает конфиденциальные данные: криптовалютные кошельки, учетные данные разработчика, информацию о проектах. Украденные данные отправляются на внешний сервер под кодовым названием SilentPrism. Швейцарская компания PRODAFT задокументировала эту кампанию, показав смену тактики EncryptHub в сторону альтернативной монетизации через кражу данных.
Параллельно набирает силу новый вымогатель KAWA4096. Впервые замеченный в июне 2025 года, он атаковал уже 11 компаний, преимущественно в США и Японии. Хотя начальный вектор проникновения неизвестен, его технические особенности внушают тревогу. KAWA4096 шифрует файлы на сетевых дисках. Для максимальной скорости и эффективности он использует многопоточность: валидные файлы помещаются в общую очередь, обрабатываемую пулом рабочих потоков. Каждый поток передает путь файла на шифрование, а для синхронизации потоков используется семафор. Исследователи Натаниэль Моралес (Nathaniel Morales) и Джон Басмайор (John Basmayor) детально описали его работу.
Еще одна угроза — вымогатель Crux, заявляющий о связи с группировкой BlackByte. Зафиксировано три инцидента с его участием, включая атаки 4 и 13 июля 2025 года. В одном случае, по данным компании Huntress, злоумышленники получили доступ, используя валидные учетные данные через RDP. Crux активно применяет легитимные инструменты Windows (LOLBins):
Huntress рекомендует организациям усилить мониторинг подозрительной активности, связанной с использованием
Изображение носит иллюстративный характер
Атака EncryptHub начинается с фишинга. Злоумышленники используют поддельные AI-платформы, такие как Norlax AI (имитирующая Teampilot), в качестве приманки. Они рассылают жертвам предложения о работе или запросы на ревью портфолио, перенаправляя на эти фальшивые сайты. На платформе Norlax AI разработчиков обманом заставляют кликнуть на ссылку для «встречи». Также атакующие напрямую рассылают такие ссылки соискателям, откликнувшимся на их вакансии на доске объявлений Web3 Remote3.
Используя хитрость, EncryptHub обходит предупреждения Remote3 о скачивании ПО. Сначала переписка ведется через Google Meet, затем соискателя просят перейти «на собеседование» в Norlax AI. Клик по ссылке в Norlax AI загружает вредоносный софт, замаскированный под настоящий Realtek HD Audio Driver. Загрузчик исполняет команды PowerShell, которые скачивают и запускают троянец-стилер Fickle Stealer.
Fickle Stealer выкачивает конфиденциальные данные: криптовалютные кошельки, учетные данные разработчика, информацию о проектах. Украденные данные отправляются на внешний сервер под кодовым названием SilentPrism. Швейцарская компания PRODAFT задокументировала эту кампанию, показав смену тактики EncryptHub в сторону альтернативной монетизации через кражу данных.
Параллельно набирает силу новый вымогатель KAWA4096. Впервые замеченный в июне 2025 года, он атаковал уже 11 компаний, преимущественно в США и Японии. Хотя начальный вектор проникновения неизвестен, его технические особенности внушают тревогу. KAWA4096 шифрует файлы на сетевых дисках. Для максимальной скорости и эффективности он использует многопоточность: валидные файлы помещаются в общую очередь, обрабатываемую пулом рабочих потоков. Каждый поток передает путь файла на шифрование, а для синхронизации потоков используется семафор. Исследователи Натаниэль Моралес (Nathaniel Morales) и Джон Басмайор (John Basmayor) детально описали его работу.
Еще одна угроза — вымогатель Crux, заявляющий о связи с группировкой BlackByte. Зафиксировано три инцидента с его участием, включая атаки 4 и 13 июля 2025 года. В одном случае, по данным компании Huntress, злоумышленники получили доступ, используя валидные учетные данные через RDP. Crux активно применяет легитимные инструменты Windows (LOLBins):
svchost.exe для маскировки вредоносных команд и bcdedit.exe для модификации конфигурации загрузки и блокировки восстановления системы. Huntress рекомендует организациям усилить мониторинг подозрительной активности, связанной с использованием
bcdedit.exe и svchost.exe, с помощью систем EDR (Endpoint Detection and Response). Тенденция использования злоумышленниками легальных инструментов и продвинутых техник, таких как многопоточность, для повышения эффективности и скрытности продолжает определять ландшафт угроз. Появление EncryptHub, KAWA4096 и Crux подчеркивает постоянную эволюцию тактик и инструментов киберпреступников.
