Российские компании под атакой. Хакеры используют уязвимости в WinRAR

Группа хакеров Paper Werewolf использует ИТ-уязвимости в архиваторе WinRAR для проведения кибератак на российские компании. Согласно отчету Bi.Zone, в июле — начале августа 2025 г. злоумышленники атаковали организации в России и Узбекистане, рассылая фишинговые письма с вредоносными RAR-архивами.

Атака хакеров

Группа хакеров Paper Werewolf провела новую серию атак на российские компании, об этом CNews сообщили представители Bi.Zone. Теперь они используют уязвимость WinRAR, самого популярного архиватора.

В июле–начале августа 2025 г. Paper Werewolf провели серию кибератак против организаций из России и Узбекистана. В основе их стратегии по-прежнему фишинговые письма — эту модель они используют с 2022 г., когда их впервые заметили в «Лаборатории Касперского». Но теперь вредоносное программное обеспечения (ПО) содержится в прикрепляемых к письмам RAR-архивах.

WinRAR — это ИТ-инструмент для сжатия данных, архивирования и управления архивами. Он позволяет пользователям архивировать и сжимать множество электронных файлов в одну папку значительно меньшего размера. Это дает возможность сэкономить ценные мегабайты свободного дискового пространства на своих компьютерах или в памяти мобильных устройств, а также повысить эффективность управления файлами. Кроме того, с помощью WinRAR пользователь может открыть или извлечь архивные файлы, а также управлять ими.

Согласно сообщению Bi.Zone одной из последних жертв Paper Werewolf стал производитель специального оборудования, в его систему киберзлоумышленники пробрались через фишинговое письмо с якобы документами из министерства. В декабре 2024 г. специалисты по информационной безопасности (ИБ) Bi.Zone сообщили о хакерской рассылке с постановлением администрации города Курска «Об утверждении порядка действий органов власти в случаи ухудшения обстоятельств в прифронтовых районах Курской области».

Использование RAR-архивов имеет и технологическое обоснование. Ведь это позволяет хакерам из Paper Werewolf применять существующие в WinRAR ИТ-уязвимости. Незадолго до начала кибератак, по данным Bi.Zone в даркнете появилась компьютерная программа (эксплоит), эксплуатирующая недочет в защите архиватора.

По данным «Лаборатории Касперского» за апрель 2025 г., хакерская группировка Paper Werewolf провела ИТ-атаки на телекоммуникационные и строительные компании, на государственный и энергетический сектора и даже на средства массовой информации (СМИ). Ранее было известно группировка атаковала только российские организации.

Эксперименты с ИТ-инструментами

Руководитель Bi.Zone Threat Intelligence Олег Скулкин: «Ориентированные на шпионаж группировки продолжают экспериментировать с методами и ИТ-инструментами, в том числе пополняют свой арсенал новыми ИТуязвимостями. Используя RAR-архивы, атакующие преследовали сразу две цели: не только эксплуатировали уязвимости в WinRAR для установки троянов, но и увеличивали шансы на то, что фишинговое письмо преодолеет фильтры в электронной почте, ведь такие вложения в деловой переписке — обычное дело».

По данным Bi.Zone TDR, 79% российских компаний используют WinRAR в своих рабочих процессах, а доля рабочих устройств на операционной системе (ОС) Windows, где установлен этот архиватор, приближается к 100%. Ранее представитель WinRAR сообщал, что в месяц компания продает около 10 тыс. лицензий на архиватор. Это делает WinRAR одной из самых популярных программ как у обычных пользователей, так и в корпоративном сегменте.

Популярные схемы мошенничества

Злоумышленники переходят на более прибыльные схемы. Они все чаще крадут платежные данные, обещают выгодную подработку на маркетплейсах либо притворяются сотрудниками банков, правоохранительных органов и ведомств.

Согласно статистике Центрального банка (Центробанк) России, за первые три месяца 2025 г. мошенники похитили почти 6,9 млрд руб. — это на 60% больше, чем за аналогичный период 2024 г. При этом, по данным Bi.Zone AntiFraud, число случаев кибермошенничества в первой половине 2025 г. снизилось на 18%. Эксперты Bi.Zone считают, что злоумышленники теперь ориентируются на более прибыльные схемы.

В первой половине 2025 г. 17% всех случаев мошенничества были связаны с кражей доступов к электронным средствам платежей. Злоумышленники использовали социальную инженерию: притворялись банковскими сотрудниками, создавали поддельные сайты и рассылали SMS-коды, чтобы получить доступ к банковским картам и личным кабинетам. Также мошенники использовали утерянные карты для бесконтактных покупок без ввода PIN-кода.

На схему «спасатель», вторую по популярности, пришлось 15% инцидентов. Мошенники звонили якобы от имени Министерство внутренних дел (МВД) России, Банка России или банка жертвы и сообщали ей, что счет был скомпрометирован. Затем предлагали перевести деньги на «безопасный» счет или передать их курьеру. Иногда преступники пугали жертву, что на нее планируют оформить кредит. Для того чтобы этому помешать, ее убеждали самостоятельно исчерпать кредитный лимит и перевести деньги в «безопасное место». В итоге человек терял все средства и оставался с долгами.

В 12% случаев мошенники использовали схемы с подработкой на маркетплейсах — предлагали писать положительные отзывы за деньги. Сначала «сотрудник» действительно получал оплату, но вскоре попадал в схему с выкупом товаров для «повышения рейтинга» позиций на площадке. Жертва тратила крупные суммы, ожидая возврата средств с процентами, но оставалась ни с чем.

Аналитики Bi.Zone AntiFraud также выделили схемы с высокой динамикой роста. В семь раз участилось использование схем с дропперами. В этой схеме мошенники вовлекают людей в незаконные финансовые операции под видом удаленной работы. Жертва заводит новую карту, передает реквизиты и доступ за вознаграждение либо обналичивает деньги, а затем передает их курьеру. В четыре раза выросло число мошеннических афер с букмекерскими ставками. Злоумышленники взламывают аккаунт пользователя, покупают виртуальную валюту в букмекерских конторах и выводят часть средств со счета. Остальное злоумышленники инвестируют в ставки, чтобы замаскировать операции. В четыре раза чаще мошенники применяли схему с фальшивыми выигрышами. В рамках этой схемы злоумышленники проводят поддельные розыгрыши в соцсетях и просят «победителей» оплатить налог или доставку несуществующего приза.

В I квартале 2025 г. российские банки предотвратили около 43,8 млн попыток мошенничества — почти в три раза больше, чем за аналогичный период в 2024 г. Таким образом, банки сохранили в 2,3 раза больше средств клиентов, чем в I квартале 2024 г., а именно 4,6 трлн руб.

Эксперты Bi.Zone AntiFraud напоминают: никогда не сообщайте коды доступа из SMS или push-уведомлений другим лицам. С осторожностью относитесь к знакомствам в социальных сетях и не доверяйте обещаниям легкого заработка, особенно требующего вложения денежных средств. При любых сомнениях в мотивации собеседника прекратите разговор и свяжитесь с банком по номеру из его официальных источников.