Злоумышленники все чаще используют для атак пиратские зловреды

Яков Шпунт 29 Августа 2024 - 17:43

Таргетированные атаки

...

Злоумышленники все чаще используют для атак пиратские зловреды

В 2024 году для атак на российские компании киберпреступники все чаще используют коммерческие вредоносные программы, которые авторы прямо запретили применять против стран СНГ.

Такие зловреды злоумышленники находят на специфических форумах в даркнете или каналах в мессенджерах.

В трех четвертях случаях коммерческие вредоносы используются в финансово мотивированных атаках, приблизительно в каждом седьмом случае – для краж данных или шпионажа, около 4% атак совершают хактивисты. У оставшихся около 10% смешанная мотивация.

Как отмечают аналитики BI.ZONE, около 5% кластеров активности, атакующих компании из России и стран СНГ с помощью коммерческих вредоносных программ, нарушают предписания разработчиков, запретивших использовать свои разработки для атак на организации этого региона.

Такие запреты обычно связаны с тем, что сами разработчики вредоносных программ находятся на территории СНГ, и они они рассчитывают, что их будет сложнее вычислить и привлечь к ответственности, если их софт не будет применяться против местных компаний. Эта тенденция начала проявляться еще в прошлом году, но в 2024-м она стала массовой.

Первым примером такой практики стало использование White Snake. Злоумышленники распространяли вредоносную программу под видом требований Роскомнадзора, атакуя российские компании, несмотря на запрет разработчиков.

Вскоре после публикации исследования тему о продаже White Snake на популярном теневом форуме закрыли, и единственной площадкой для распространения стилера остался телеграм-канал разработчика. В настоящее время приобрести программу можно по цене от 200 (1 месяц использования) до 1950 долларов (бессрочная лицензия).

Похожая ситуация сложилась со стилером Rhadamanthys, цены на который варьировались от 59 долларов за 1 неделю использования до 999 долларов за бессрочную лицензию. Продажи стилера заблокировали на теневых ресурсах в апреле 2024 года, после того как стало известно, что группировка Sticky Werewolf применяет программу для атак на российские и белорусские организации.

Как правило, когда становится известно о применении того или иного вредоноса против компаний в странах СНГ, его продажи блокируют на теневых форумах, а разработчики переносят свою деятельность в Telegram.

Олег Скулкин, руководитель BI.ZONE Threat Intelligence:

«Группировка Stone Wolf совершила не менее 9 атак на российские компании с использованием стилера Meduza. По заверениям разработчиков, в него встроен модуль, ограничивающий реализацию атак на территории СНГ. Однако Stone Wolf модифицировала софт, отключив функцию запрета. Доработанный таким образом стилер преступники рассылали во вложениях к фишинговым письмам от лица реальной компании, которая работает в сфере промышленной автоматизации».

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Яков Шпунт 06 Апреля 2026 - 12:33

Трояны Целевые атаки Таргетированные атаки Малый и средний бизнес Корпорации F6

С новым годом взломанных бухгалтеров. Hive0117 крадет деньги через ДБО

Компания F6 зафиксировала атаки со стороны финансово мотивированной группировки Hive0117. Она с помощью трояна удаленного доступа получала доступ к системам дистанционного банковского обслуживания (ДБО) российских компаний и выводила оттуда денежные средства на подконтрольные счета. Средняя величина ущерба составила около 3 млн рублей.

Как отметили в компании, в феврале-марте 2026 года было зафиксировано несколько волн вредоносных рассылок, ориентированных на бухгалтеров. Причем со временем интенсивность таких рассылок росла. Всего письма были направлены в более 3 тыс. компаний.

Данную активность специалисты департамента киберразведки (Threat Intelligence) F6 связали с финансово мотивированной группировкой Hive0117 (также известная как Watch Wolf). Она появилась в феврале 2022 года, ее основной целью являются российские компании в сфере промышленности, ретейла, энергетики, медиа, туризма, финансов и страхования, телекома, транспорта и биотехнологий. Кроме того, атакует организации в Беларуси и Казахстане.

Рассылки писем, зараженных «фирменным» трояном группировки DarkWatchman, шли со скомпрометированных почтовых ящиков. Темой писем указывались обычно «Акт сверки», «Счёт на оплату» и «Уведомление об окончании срока бесплатного хранения».

Сам DarkWatchman представляет собой модульное средство скрытого удаленного управления компьютером. Также он может выполнять функции кибершпионажа и загружать другие зловреды. Он распространяется как вложение к письмам в виде RAR архива, защищенного паролем, который находится в тексте письма. Такая схема позволяет скрывать зловреды от фильтров.

Для вывода средств злоумышленники оформляли платежи для зачисления на банковские счета по реестру. Формально это выглядело как перечисление зарплаты, однако в реестре были указаны банковские счета дропов. Это позволяет группировке обходить антифрод-системы банков.

Средний ущерб компаний от атак Hive0117 составил 3 млн рублей. Максимальный достигал 14 млн.

«В условиях новых угроз мы рекомендуем банкам усилить защиту юридических лиц на стороне клиента, а также осуществлять обязательный контроль зарплатных реестров на стороне транзакционной антифрод системы», – советует Дмитрий Ермаков, руководитель департамента Fraud Protection компании F6.

Также в компании рекомендуют усилить защиту ПК с установленной системой ДБО, а также ограничить к ним доступ в интернет. Кроме того, в F6 настоятельно советуют повышать осведомленность пользователей о фишинге и строго следить за тем, чтобы операторы не оставляли подключенными токены.

В середине 2025 года российские компании также столкнулись с массовыми атаками через ДБО. В 2026 году мы также прогнозировали высокую активность такого рода злоумышленников. Она началась даже раньше, чем мы предполагали.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!