Microsoft обезвредила командную инфраструктуру трояна Zloader

Татьяна Никитина 14 Апреля 2022 - 17:08

...

Microsoft обезвредила командную инфраструктуру трояна Zloader

Получив разрешение суда, специалисты Microsoft захватили контроль над 65 доменами, которые использовались для управления ботнетом Zloader. Выявить их удалось совместными усилиями рабочей группы, в которую также вошли эксперты ESET, Black Lotus Labs (в составе Lumen), Avast и подразделения Unit 42 ИБ-компании Palo Alto Networks.

Теперь при поиске C2 по вшитому в код адресу запросы резидентных ботов перенаправляются на подставной сервер Microsoft (sinkhole). Судебный ордер также позволяет обезвредить еще 319 доменов, зарегистрированных ботоводами. Эти имена сгенерированы по DGA (вредонос использует такой механизм в качестве резервного), и рабочая группа уже принимает меры по блокировке аналогичных регистраций в будущем.

В заявлении ESET по этому поводу говорится о трех ботнетах Zloader: эксперты различают их по используемой версии зловреда. Заражения зафиксированы по всему миру, с наибольшей концентрацией в Северной Америке, Японии и Западной Европе.

В ходе расследования удалось также идентифицировать создателя компонента вредоносной программы, используемого для загрузки на ботнет шифровальщиков; умельцем оказался Денис Маликов из Симферополя.

По словам Microsoft, целью предпринятых усилий являлась деактивация C2-инфраструктуры Zloader. Противник, конечно, постарается восстановить связь с потерянными ботами, но правоохранительные органы уже поставлены в известность и будут начеку, а ИБ-эксперты продолжат следить за развитием событий на этом фронте.

Модульный троян Zloader впервые появился на интернет-арене в 2007 году и вначале использовался только для кражи финансовой информации у владельцев Windows-машин. Со временем он научился также воровать и другие данные (из браузеров, Microsoft Outlook), регистрировать клавиатурный ввод, делать скриншоты, уклоняться от детектирования и загружать других зловредов, в том числе шифровальщиков.

Владельцы Zloader стали сдавать свой ботнет в аренду, взимая плату за доступ к зараженным компьютерам по модели MaaS (Malware-as-a-Service, вредонос как услуга). По данным Microsoft, этим удобством в свое пользовались криминальные группы, стоявшие за Ryuk, DarkSide и BlackMatter. Распространяется MaaS-зловред различными способами, но чаще всего через спам или вредоносную рекламу в поисковой выдаче.

С прошлого года популярность Zloader как загрузчика пошла на спад, и сейчас его используют, по словам ESET, только две кибергруппы. Однако расслабляться пока рано: эксперты обнаружили в дикой природе новую версию трояна — 2.0 (образцы тестовые, скомпилированы в июле прошлого года).

Следующая главная новость »

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »

Екатерина Быстрова 15 Декабря 2025 - 19:47

Корпорации Государство Сетевая безопасность Межсетевой экран Межсетевые экраны нового поколения (NGFW) Positive Technologies

PT NGFW вышел на рынок Беларуси и заинтересовал компании СНГ

Positive Technologies продолжает расширять географию использования своего флагманского межсетевого экрана PT NGFW. По данным аналитики Центра стратегических разработок, по итогам 2024 года продукт вошёл в топ-3 лидеров российского рынка средств защиты сетей, а теперь к нему всё активнее присматриваются компании за пределами России.

Осенью 2025 года модели PT NGFW прошли сертификацию в Республике Беларусь.

Интерес к продукту со стороны белорусского бизнеса появился практически сразу после его выхода, но именно сертификация открыла возможность использовать межсетевой экран на предприятиях страны официально. Параллельно Positive Technologies начала переговоры о поставках PT NGFW в Армению и Азербайджан.

В России PT NGFW уже активно внедряется в корпоративных сетях — проекты находятся на разных стадиях, от проектирования до промышленной эксплуатации и планов по масштабированию. Одной из причин выбора продукта называют его производительность, подтверждённую независимыми тестами в лаборатории BI.ZONE. Старшая модель PT NGFW 3040, например, способна обрабатывать до 60 Гбит/с в режиме IPS и более 33 Гбит/с при TLS-инспекции. Также продукт поддерживает совместную работу с зарубежными решениями при построении VPN-туннелей, что упрощает интеграцию в уже существующие сети.

Выход на рынок Беларуси стал отдельным этапом. По местному законодательству использоваться могут только сертифицированные средства защиты, поэтому PT NGFW прошёл проверку на соответствие требованиям регламентов TP 2013/027/BY по информационной безопасности и TP 2018/024/BY по безопасности средств электросвязи. Сертификацию проводили профильные государственные структуры, включая Оперативно-аналитический центр при Президенте Республики Беларусь.

Как отмечают в Positive Technologies, интерес к NGFW в регионе во многом связан с требованиями регуляторов. В Беларуси межсетевые экраны нового поколения рассматриваются как обязательный элемент защиты для организаций, особенно в критически важных секторах. После получения всех необходимых документов компании республики получили возможность официально использовать PT NGFW для защиты периметра сети.

Таким образом, PT NGFW постепенно выходит за рамки российского рынка и начинает закрепляться в странах СНГ — сначала через сертификацию, а затем через пилотные и коммерческие проекты у местных заказчиков.

Ранее мы рассуждали, можно ли создать продукт мирового уровня за два года на примере PT NGFW.

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »