Spamhaus фиксирует резкий рост количества C2 ботнетов в России

Татьяна Никитина 24 Января 2022 - 10:40

...

Spamhaus фиксирует резкий рост количества C2 ботнетов в России

В период с октября по декабрь специалисты НКО Spamhaus выявили 3271 командный сервер вредоносных ботнетов — на 23% больше, чем в III квартале. Список стран с наибольшим числом таких находок вновь возглавила Россия, показавшая прирост в 124%.

Согласно Spamhaus, в прошлом году эта страна уверенно двигалась ввысь в рейтинге по этому показателю. Вначале она занимала третью ступень непочетного пьедестала, затем шагнула на вторую, а в III квартале отняла пальму первенства у США. Теперь активисты рапортуют, что больше четверти C2-серверов, найденных за последние месяцы 2021 года, располагались в сетях российских провайдеров.

В Топ-10 лидеров по итогам IV квартала вошли также страны Латинской Америки: Мексика, Доминиканская Республика, Бразилия, Уругвай. Последняя, кстати, показала самый стремительный рост числа C2 — на 181%.

Новый список зловредов с наибольшим числом C2-серверов возглавили инфостилеры RedLine и Loki. Исследователи особо отметили рост активности загрузчика GCleaner, который используется для распространения других вредоносных программ по модели PPI (Pay-Per-Install, оплата за каждую успешную установку).

Список TLD-доменов по доле злоупотреблений по-прежнему возглавляют родовые .COM, .TOP и .XYZ. Четвертую строку занял новичок .XXX — такие сайты обычно регистрируют создатели развлекательного контента для взрослых (категории 18+). В настоящее время в зоне .XXX, по данным Spamhaus, активны немногим более 9 тыс. доменов, и 2,4% из них ассоциируются с ботнетами.

Количество доменов, специально создаваемых под C2, к концу года уменьшилось; непочетный Топ-20 регистраторов покинули Network Solutions, OVH и ряд китайских компаний, которые успешно борются с такими абьюзами. Результаты аналогичных усилий NameSilo и Namecheap оказались гораздо скромнее, и они сохранили лидирующие позиции. Из новичков примечателен турецкий Atak, не желающий реагировать на уведомления Spamhaus; активисты даже подали на него жалобу в ICANN.

В Топ-10 сетей по числу C2 на сей раз вошел поставщик бесплатного веб-хостинга Alibaba, увеличивший свой показатель на 452%. Сильно ухудшилось также положение российского Baxet, поднявшегося с 14-й на восьмую строчку. Замыкает ведущую десятку новичок «Селектел».

Представляя очередной квартальный отчет по ботнетам, исследователи отметили, что часть C2-активности отследить не удалось из-за того, что злоумышленники используют протокол DoH (DNS поверх HTTPS). Такие услуги по защите от трекинга предоставляют, к примеру, Google и Alibaba; эту возможность уже взяли на вооружение операторы Android-банкера FluBot и бэкдора TeamBot, которые, похоже, используют одну и ту же FastFlux-инфраструктуру.

Следующая главная новость »

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 04 Марта 2026 - 15:50

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи BI.ZONE

Ювелирка по акции: перед праздниками расплодились фишинговые сайты

Перед праздниками мошенники массово запускают фишинговые сайты, замаскированные под ювелирные магазины. Специалисты BI.ZONE Digital Risk Protection говорят, что только за февраль нашли около 30 таких доменов, причём многие из них выглядят так, будто сделаны по одному и тому же шаблону: одинаковое оформление, похожие названия, минимальные отличия в адресах.

По оценке экспертов, всплеск вполне логичный: в конце зимы и начале весны подарки покупают чаще обычного. И если в феврале насчитали почти три десятка мошеннических сайтов, в начале марта их может стать ещё больше.

Схема довольно простая и рассчитана на то, чтобы человек оставил максимум данных. «Магазин» устроен так, что без заполнения формы заказ просто не оформить: просят Ф. И. О., телефон, адрес и имейл. Дальше, как предполагают в BI.ZONE, всё может перейти в классический сценарий «давайте уточним оплату»: с жертвой связываются и под разными предлогами пытаются вытянуть уже банковские данные — например, номер карты.

Руководитель BI.ZONE Digital Risk Protection Дмитрий Кирюшкин обращает внимание на любопытную деталь: эти сайты часто стартуют с английского языка и цен в долларах, но при этом позволяют быстро переключиться на русский и рубли.

При этом домены находятся в российской зоне. Вероятно, расчёт на психологию: «иностранный» магазин кажется более привлекательным, ассортимент — необычным, а скидки и акции подталкивают быстрее нажать «оформить заказ» и не разглядывать мелочи.

Самый рабочий способ не попасться здесь всё тот же: не лениться проверять адрес сайта и заходить за покупками на официальные ресурсы или крупные проверенные площадки. У фишинга часто всё держится на невнимательности: домен отличается от настоящего буквально одним символом, и именно на это мошенники и надеются.

Напомним, пару дней назад мы писали, что злоумышленники запустили массовую рассылку опасных «праздничных» открыток к 8 марта. В них скрыты фишинговые ссылки на ресурсы, распространяющие зловред или собирающие персональные данные. Рассылки идут через мессенджеры и социальные сети.

Кроме того, F6 и RuStore подготовили список наиболее распространенных мошеннических схем в преддверии 8 марта. По их оценке, около 94% таких инцидентов связаны с использованием социальной инженерии.

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!