В зоне RU заблокированы 110 доменов, используемых троянами DCRat и WebRat
Главная » Новости
Первый летний опен-эйр для специалистов по кибербезопасности 17 июля в 11:00 встречаемся в «Берёзы Парк Строгино», где обсудим ИИ в кибербезе, таргетированные атаки, цифровую криминалистику и Bug Bounty.
В программе:
• доклады и практические кейсы;
• воркшопы и киберучения;
• спикерские консультации и живой нетворкинг;
• игровые активности и квест по социнженерии;
• научпоп с Владимиром Сурдиным.→ Купить билет
Реклама. АО «Инфосистемы Джет», ИНН 7729058675, 7+

В зоне RU заблокированы 110 доменов, используемых троянами DCRat и WebRat

Татьяна Никитина 22 Июля 2025 - 13:27
...
В зоне RU заблокированы 110 доменов, используемых троянами DCRat и WebRat

Специалисты F6 помогли выявить и обезвредить солидную часть инфраструктуры криминального сервиса NyashTeam — более 110 доменов в TLD-зоне RU, используемых для проведения троянских атак в России и других странах.

По данным ИБ-компании, NyashTeam работает по модели MaaS (Malware-as-a-Service, вредонос как сервис) как минимум с 2022 года, продавая через сайты и Telegram доступ к DCRat и WebRat, а также предоставляя преступникам услуги хостинга и техподдержки.

 

Оплата подписки принимается в криптовалюте и рублях. Клиенты MaaS проводят атаки в 50 странах, но в основном — на территории России.

Для распространения троянов удаленного доступа зачастую используются YouTube и GitHub; вредоноса в таких случаях обычно выдают за кряк популярного софта, игровой бот или чит для геймеров.

За все время существования NyashTeam использовала свыше 350 доменов второго уровня. Пик регистраций пришелся на январь 2025 года.

 

На настоящий момент выявлено и заблокировано более 110 RU-доменов, ассоциированных с инфраструктурой MaaS. На очереди еще четыре вредоносных домена, которые были зарегистрированы в других TLD-зонах.

Заблокированы также телеграм-канал с исходниками WebRat и четыре обучающих видео на YouTube.

«Кейс NyashTeam наглядно доказывает: инфраструктуру MaaS-операторов, распространяющих вредоносное ПО, можно обнаружить и эффективно заблокировать, — комментирует Владислав Куган из команды F6 Threat Intelligence. — Анализ и последующая блокировка доменов, используемых группировкой NyashTeam, позволили как минимум на время существенно ограничить возможности распространения угроз и затруднить работу злоумышленников».

Следующая главная новость »
AM LiveОшибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!

Hive0117 атакует бухгалтеров в России: средний ущерб вырос до 10 млн рублей
Екатерина Быстрова 18 Июня 2026 - 13:11
ТрояныФишингЦелевые атакиТаргетированные атаки Малый и средний бизнесКорпорации F6
Hive0117 атакует бухгалтеров в России: средний ущерб вырос до 10 млн рублей

Киберпреступники из группировки Hive0117 устроили настоящую охоту на бухгалтеров российских компаний. По данным Эфшесть/F6, с начала 2026 года злоумышленники атаковали более 3000 организаций в России, Беларуси, Казахстане и Узбекистане. И примерно в 400 случаях атаки оказались успешными.

Средний ущерб вырос более чем втрое — с 3 до 10 млн рублей. Схема выглядит довольно банально, но продолжает работать.

Бухгалтер получает письмо с темой вроде «Счёт на оплату», «Акт сверки», «Накладная» или «Задолженность по оплате». Внутри — архив с паролем, который заботливо указан в тексте письма.

После запуска вложения на компьютер устанавливается троян DarkWatchman, который уже несколько лет остаётся одним из любимых инструментов этой группировки.

Зловред следит за действиями пользователя, перехватывает данные с клавиатуры и отслеживает момент, когда бухгалтер подключает криптографический токен для работы с системой дистанционного банковского обслуживания.

Как только токен появляется в USB-порту, злоумышленники разворачивают дополнительный набор инструментов удалённого доступа. В результате они получают контроль над рабочей станцией, паролями, сессиями и банковскими операциями компании.

В 2026 году Hive0117 добавила новую схему вывода денег. Вместо обычных переводов злоумышленники начали оформлять платежи через зарплатные реестры. Формально всё выглядит как стандартное перечисление зарплаты сотрудникам, но деньги уходят на счета дропов.

Такой подход помогает обходить часть антифрод-механизмов банков и выводить крупные суммы практически незаметно.

По данным Эфшесть/F6, пик вредоносных рассылок пришёлся на февраль и март. Причём в ряде случаев письма отправлялись от уже взломанных компаний по цепочке их контрагентов, что значительно повышало доверие получателей.

Эксперты отмечают, что финансовые атаки становятся всё более сложными. Если раньше мошенникам было достаточно украсть пароль, то теперь они месяцами охотятся за доступом к бухгалтерским системам и используют легитимные бизнес-процессы против самих компаний.

И, судя по статистике, такая тактика пока работает слишком хорошо.

AM LiveОшибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!
Microsoft закрыла две 0-day в Defender, которые уже используют в атаках
Новость
Microsoft закрыла две 0-day в Defender, которые уже использу...
В Госдуму внесли законопроект о цифровых правах россиян
Новость
В Госдуму внесли законопроект о цифровых правах россиян
DDoS выше 3 Тбит/с: российские компании столкнулись с новым уровнем атак
Новость
DDoS выше 3 Тбит/с: российские компании столкнулись с новым...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.