За полгода число атак через USB-устройства возросло в три раза

Татьяна Никитина 13 Июля 2023 - 20:11

...

За полгода число атак через USB-устройства возросло в три раза

В период с января по июнь Mandian зафиксировала трехкратный рост количества атак, использующих зараженные флешки для кражи данных. Большинство инцидентов связано с несколькими шпионскими операциями, затронувшими госструктуры и частный сектор.

Две активные USB-кампании эксперты подробно разобрали в своем блоге. Одну из них, условно названную Sogu, они приписали прокитайской группировке TEMP.HEX. Автором другой, Snowydrive, по всей видимости, является UNC4698, интересующаяся секретами азиатской нефтянки.

Вредонос, распространяемый через USB-устройства в рамках Sogu, более агрессивен. Заражения выявлены во многих странах и в разных вертикалях:

Начальный пейлоад (троян PlugX, он же Korplug) загружает в память шелл-код по методу подмены DLL — написанный на C бэкдор, который в Mandian отслеживают под именем Sogu. Вредонос обеспечивает себе постоянное присутствие с помощью ключа Run и планировщика задач Windows, а затем помещает в корзину (папку Recycle Bin) командный файл, помогающий отыскать в системе документы, которые могут содержать ценные данные.

Найденные файлы копируются в два места: на диск C:\ и в рабочую папку на флешке; содержимое кодируется по base64. Вывод на C2-сервер осуществляется по TCP или UDP с использованием HTTP(S)-запросов.

Бэкдор Sogu также умеет выполнять команды, запускать на исполнение файлы, открывать удаленный доступ к рабочему столу, создавать обратный шелл, регистрировать клавиатурный ввод, делать скриншоты. Вредоносная полезная нагрузка может автоматически копироваться на все съемные диски, подключаемые к зараженной системе.

Кампания Snowydrive тоже использует бэкдор, дроппер которого замаскирован под легитимный исполняемый файл (например, USB Drive.exe). Зловред умеет запускать произвольный пейлоад с помощью командной строки Windows, вносить изменения в системный реестр, работать с файлами и папками.

Цепочка заражения Snowydrive примерно такая же, как у Sogu, но вредоносные компоненты разделены на группы по выполняемым задачам.

Домен, в котором расположен C2, вшит в шелл-код зловреда; для обращения к серверу создается уникальный ID. При копировании себя на другие съемные диски Snowydrive создает на каждом папку \Kaspersky\Usb Drive\3.0 и помещает туда свои модули.

Вредоносы, распространяемые через флешки, довольно редки и обычно применяются точечно — например, против АСУ ТП с целью саботажа. К такому методу заражения прибегали также печально известные FIN7 и Silence. Года два назад в интернете объявился новый USB-червь — Raspberry Robin, которого позднее обнаружили на многих производствах.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Яков Шпунт 08 Апреля 2026 - 08:54

Соответствие законодательству РФ Корпорации Государство

Российское ПО с начала года подорожало на 10-20%

Цены на российское ПО с начала 2026 года выросли на 10–20%. Это связано с сохраняющейся высокой ключевой ставкой Банка России, ростом налоговой нагрузки и затрат на персонал, а также с резким подорожанием оборудования. В среднем рост цен составил 10–20%, но по отдельным направлениям он может быть и выше.

Такую оценку привёл «Коммерсантъ» на основе анализа изменений в предложениях ИТ-компаний и интеграторов.

«В отдельных сегментах — нишевые ИТ-решения, ИБ, инфраструктурное ПО — рост цен достигает 30%, особенно там, где ограниченная конкуренция. Базовое ПО прибавило 10–15% к стоимости лицензий и поддержки, сложные и дефицитные решения — 15–25%», — прокомментировал ситуацию на рынке ИТ-директор «СКБ Контур» Артём Прескарьян.

Среди основных причин подорожания участники рынка называют сохраняющийся высокий уровень ключевой ставки Банка России, рост налоговой нагрузки и расходов на персонал, а также продолжающийся рост цен на ИТ-оборудование и комплектующие. Так, стоимость некоторых видов серверного оборудования за год удвоилась. Дополнительное влияние оказали ужесточение требований со стороны заказчиков и низкий уровень конкуренции в ряде ниш.

При этом, по мнению директора департамента e-commerce ГК «КОРУС Консалтинг» Марии Бар-Бирюковой, часть компаний начала превентивно повышать цены ещё осенью, когда стало известно об отмене льгот для ИТ-отрасли. Это вызвало эффект «инфляции ожиданий»: некоторые вендоры заранее заложили в стоимость продуктов возможные потери из-за роста налоговой нагрузки. Однако после отмены наиболее жёсткой меры — лишения отрасли льгот по НДС — значительного скачка цен удалось избежать.

Директор практики «Технологическая трансформация» «Рексофт Консалтинг» Алексей Богомолов назвал важным фактором роста цен на ПО подорожание ИТ-оборудования, прежде всего серверного. Это общемировой процесс, вызванный перераспределением спроса на различные виды памяти на фоне бума искусственного интеллекта.

Директор по развитию ИИ «Группы Астра» Станислав Ежов назвал такую ситуацию серьёзным вызовом для всей отрасли центров обработки данных:

«Для дата-центров это прямой удар по себестоимости сразу с трёх сторон: дорожает оборудование, растут тарифы на электроэнергию, дорожает строительство. Часть операторов уже подняли тарифы, и это будет продолжаться».

Ситуацию осложняет и то, что значительная часть ЦОД, как напомнил Станислав Ежов, работает на оборудовании с истекающим ресурсом, которое необходимо срочно заменять. Это уже приводит к массовым отказам техники.

В комментарии для издания Минцифры сообщило, что выступает за саморегулирование в сфере ценообразования. При этом ведомство оставляет за собой возможность при необходимости применять дополнительные инструменты регулирования.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!