Dire Wolf zsarolóvírus
A Dire Wolf egy újonnan felbukkant zsarolóvírus‑csoport, amelyet először 2025 májusában azonosítottak. A Trustwave SpiderLabs vizsgálata szerint a támadások során dupla zsarolási technikát alkalmaznak, egyrészt titkosítják az áldozatok adatait, másrészt azok nyilvánosságra hozatalával fenyegetnek.
Eddig 16 szervezet esett áldozatául különböző országokban – leginkább az Egyesült Államokban, Thaiföldön és Tajvanon –, főként a gyártási és technológiai szektorban tevékenykedő cégeket célozva. A nyilvános adat‑szivárgási weboldalukon szereplő információk szerint az áldozatoknak körülbelül egy hónap áll rendelkezésre a fizetésre, az egyik oldalon említett váltságdíj összege mintegy 500 000 USD volt.
A Trustwave VirusTotal Hunting szerint az alkalmazás UPX-el rejtett, Go (Golang) nyelven íródott – így platformfüggetlen, és a hagyományos antivírusok számára nehezen detektálható. Futtatáskor először ellenőrzi, hogy nem fut‑e már korábban verzió, illetve létezik‑e a C:\runfinish.exe jelzés, majd ha igen, önmaga törlésével kilép.
A következő lépésként leállítja a Windows eseménynaplózást – folyamatosan végez taskkill/parancsokkal –, és leállít, illetve letilt 75 előre definiált szolgáltatást, amelyek között antivírusok, adatmentő, SQL-, Exchange‑ és VMware‑komponensek is szerepelnek. Emellett mintegy 59 alkalmazást – például Office-termékeket, böngészőket, adatbázis‑ és fájlszinkron‑szolgáltatásokat – is folyamatosan leállít a háttérben .
A fájlokat Curve25519 és ChaCha20 algoritmussal titkosítja, minden fájlra érvényes, kivéve néhány rendszer‑ és temp‑kiterjesztést. A kiterjesztés .direwolf formában jelenik meg az áldozatok gépén. A zsarolólevél tartalmazza az egyedi tárgyalási adatokat (chat‑szoba azonosító, felhasználónév, jelszó) és linket egy publikus mintafájlhoz a biztonság igazolására.
A támadás végén törli magát, majd újraindítja a rendszert. A csoport adatpublikáló oldalán jelenleg 15 áldozat szerepel, közülük öt esetben június végén tervezik az adatok további közzétételét.
