В России идет волна фишинговых атак под видом писем от ФССП

Яков Шпунт 19 Марта 2025 - 18:03

Домашние пользователи

Малый и средний бизнес

...

Десятки компаний и частных лиц стали жертвами масштабной фишинговой кампании. Злоумышленники распространяют троян DarkWatchman, маскируя её под уведомления от московского Межрайонного отдела судебных приставов.

Как рассказали эксперты центра исследования киберугроз Solar 4RAYS, всплеск активности злоумышленников начался ещё в конце февраля. Согласно данным сети сенсоров и ханипотов, количество обращений к центру управления DarkWatchman выросло в пять раз. В результате эта фишинговая кампания стала самой масштабной с начала года.

Все вредоносные письма маскировались под официальные уведомления от Федеральной службы судебных приставов, однако отправлялись с поддельных адресов электронной почты. Внутри сообщений находился архив с именем «Исполнительный лист № 27186421-25 от <date>.zip».

По данным Kaspersky GReAT, такие письма получили не менее 100 российских организаций. Эксперт Kaspersky GReAT Георгий Кучерин отметил, что злоумышленники использовали имя того же судебного пристава, что и в аналогичных атаках 2022 года.

Федеральная служба судебных приставов подтвердила рост числа случаев использования её структуры для киберпреступлений.

«Злоумышленники рассылают поддельные уведомления и фишинговые письма. ФССП России напоминает, что судебные приставы не звонят через мессенджеры, не отправляют СМС-сообщения и не используют электронную почту для официальных уведомлений», — заявили в пресс-службе ведомства.

В ФССП также порекомендовали не загружать вложенные файлы и не переходить по ссылкам из подозрительных писем, а также проверять адреса отправителей: вся официальная корреспонденция ведомства поступает исключительно с его официального домена.

DarkWatchman впервые появился в 2021 году и с тех пор значительно эволюционировал. В 2023 году его использовали для фишинговых атак, маскируя под повестки, а в 2024 году он применялся в многоступенчатых атаках на российские компании. Как отметил эксперт центра Solar 4RAYS Иван Тимков, в 2025 году последние модификации сделали этот зловред практически незаметным для антивирусного ПО.

«Основная функция этого трояна — кейлоггер, который незаметно фиксирует каждое нажатие клавиш на клавиатуре жертвы, позволяя злоумышленникам получить доступ к паролям, банковским данным и другой чувствительной информации. Кроме того, DarkWatchman обладает функцией бэкдора, что позволяет киберпреступникам удалённо управлять заражёнными системами, загружать новые файлы и выполнять различные команды», — объясняет Иван Тимков.

По оценкам BI.ZONE Threat Intelligence, атака носит политически мотивированный характер и направлена на получение доступа к финансовым активам. Одним из активных операторов DarkWatchman является группа Watch Wolf.

Следующая главная новость »

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!

Екатерина Быстрова 18 Февраля 2026 - 12:20

Атаки на сайты DDoS-атаки Общее Selectel

DDoS-2025: +25% атак, рекорд 569 Гбит/с и 7 172 атаки в месяц

В 2025 году DDoS-атаки на российский бизнес стали чаще, мощнее и заметно продолжительнее. Об этом говорится в аналитическом отчёте Selectel, подготовленном на основе данных собственного сервиса защиты. За год компания отразила 140 628 атак — это на 25% больше, чем в 2024-м.

В среднем ежемесячно фиксировалось около 11,7 тыс. инцидентов, а самый «горячий» месяц пришёлся на январь — тогда число атак превысило 14,6 тыс.

В декабре был зафиксирован и антирекорд по числу атак на одного клиента — 7 172 за месяц, что на 73% больше прошлогоднего максимума.

Растёт не только количество, но и «вес» атак. Максимальный объём одной из них достиг 569 Гбит/с — плюс 38% год к году. Пиковая скорость составила 193 млн пакетов в секунду, что на 16% выше показателя 2024 года. Объёмные атаки традиционно нацелены на переполнение каналов связи, а высокоскоростные — на истощение вычислительных ресурсов.

Атаки стали и дольше. Общее время, в течение которого клиенты находились под воздействием DDoS, составило 22 743 часа — на 67% больше, чем годом ранее. Максимальная суммарная длительность атак на одного клиента достигла 863 часов — почти 36 календарных дней. Самый продолжительный одиночный инцидент длился 353 часа, то есть около 15 дней без перерыва.

По словам руководителя направления продуктовой безопасности Selectel Антона Ведерникова, в 2025 году усилился тренд на так называемые «зондирующие» и «ковровые» атаки — относительно слабые, но частые. Их цель — разведка и поиск уязвимых мест в инфраструктуре. После этого по найденным целям могут наноситься уже точечные и более мощные удары. По сути, DDoS окончательно перестали быть разовой проблемой и превратились в постоянный операционный риск.

Интересно, что разнообразие типов атак сократилось. Почти 87% всех инцидентов пришлось всего на два типа — TCP SYN Flood и TCP PSH/ACK Flood. При этом к концу года доля SYN Flood достигла 65%. А вот UDP Flood, ранее довольно распространённые, практически сошли на нет.

SYN Flood работает за счёт массовой отправки запросов на установление соединения, из-за чего сервер накапливает «полуоткрытые» сессии и перестаёт справляться с легитимным трафиком. В случае PSH/ACK Flood система перегружается потоком поддельных TCP-пакетов, на обработку которых тратятся ресурсы.

Данные отчёта основаны на анализе трафика в дата-центрах Selectel. Защита работает на сетевом и транспортном уровнях (L3 и L4), а фильтрация трафика, по оценке компании, позволяет выявлять и отсекать подавляющее большинство нелегитимных запросов.

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!