С начала 2024 года для атак на российские компании все чаще используется коммерческое вредоносное ПО, разработчики которого запретили применять его против организаций в странах СНГ. Атакующие отключают модуль ПО, который ограничивает возможности атак на территории региона. Такие «пиратские» версии ВПО распространяются на теневых форумах и в Telegram.
В 73% случаев коммерческое ВПО используют финансово мотивированные злоумышленники, которые стремятся получить выкуп от своих жертв или перепродать украденные данные в даркнете. Значительно реже (14%) коммерческий вредоносный софт используют с целью шпионажа, а на долю хактивистов приходится всего 3% подобных атак. Еще в 10% случаев группировки, использующие коммерческое ВПО, руководствуются смешанной мотивацией.
При этом около 5% кластеров активности, атакующих компании из России и стран СНГ с помощью коммерческого ВПО, нарушают предписания разработчиков, запретивших использовать свой софт для атак на организации этого региона. Такие запреты могут быть связаны с тем, что сами разработчики вредоносных программ физически находятся на территории СНГ — они рассчитывают, что их будет сложнее вычислить и привлечь к ответственности, если их софт не будет применяться против местных компаний.
Тренд на нарушение запретов создателей ВПО и «доработку» вредоносных программ наметился в 2023 году и усилился с начала
Олег Скулкин, руководитель BI.ZONE Threat Intelligence, отметил: «Группировка Stone Wolf совершила не менее 9 атак на российские компании с использованием стилера Meduza. По заверениям разработчиков, в него встроен модуль, ограничивающий реализацию атак на территории СНГ. Однако Stone Wolf модифицировала софт, отключив функцию запрета. Доработанный таким образом стилер преступники рассылали во вложениях к фишинговым письмам от лица реальной компании, которая работает в сфере промышленной автоматизации».
К письму прилагался ZIP-архив, в котором содержались файл цифровой подписи, легитимный документ для отвлечения пользователя, а также замаскированная под PDF-файл вредоносная ссылка для загрузки Meduza Stealer. После установки на компьютер жертвы стилер начинал собирать информацию об операционной системе, процессоре, оперативной памяти и других параметрах скомпрометированного устройства, данные браузеров, установленных приложений, электронных кошельков и т. д.
Стилер Meduza появился в продаже на теневых ресурсах в июне 2023 года по цене 199 долларов за месяц использования, 399 долларов за три месяца или 1199 долларов за бессрочную лицензию. С марта 2024 года стали доступны дополнительные возможности: например, по цене от 20 долларов можно арендовать выделенный сервер с выбором параметров количества ядер, оперативной памяти и места на диске.
Как правило, когда становится известно о применении того или иного ВПО против компаний в странах СНГ, его продажи блокируют на теневых форумах, а разработчики переносят свою деятельность в Telegram.
Так, в августе 2023 года команда BI.ZONE Threat Intelligence выпустила исследование стилера White Snake. Злоумышленники распространяли вредоносную программу под видом требований Роскомнадзора, атакуя российские компании, несмотря на запрет разработчиков. Вскоре после публикации исследования тему о продаже White Snake на популярном теневом форуме закрыли, и единственной площадкой для распространения стилера остался телеграм-канал разработчика. В настоящее время приобрести программу можно по цене от 200 (1 месяц использования) до 1950 долларов (бессрочная лицензия).
Похожая ситуация сложилась со стилером Rhadamantys, цены на который варьировались от 59 долларов за 1 неделю использования до 999 долларов за бессрочную лицензию. Продажи стилера заблокировали на теневых ресурсах в апреле 2024 года, после того как стало известно, что группировка Sticky Werewolf применяют программу для атак на российские и белорусские организации.
Если злоумышленникам удалось обойти превентивные средства защиты и незаметно проникнуть в инфраструктуру, угрозу важно нейтрализовать до того, как бизнес понесет значительный ущерб. Отследить атаку на ранних стадиях и оперативно отреагировать на нее в автоматическом режиме либо с помощью команды кибербезопасности помогут решения для защиты конечных точек от сложных угроз, например BI.ZONE EDR. А обеспечить эффективную работу СЗИ, ускорить реагирование на инциденты и защититься от наиболее серьезных для компании угроз помогут данные о ландшафте киберугроз, получаемые из порталов киберразведки, например BI.ZONE Threat Intelligence.