Хакеры все чаще нарушают запреты разработчиков коммерческого ВПО

В подавляющем большинстве случаев (73%) коммерческое ВПО используют финансово мотивированные злоумышленники, которые стремятся получить выкуп от своих жертв или перепродать украденные данные в даркнете. Значительно реже (в 14% случаев) коммерческий вредоносный софт используют с целью шпионажа, а на долю хактивистов приходится всего 3% подобных атак. Еще в 10% случаев группировки, использующие коммерческое ВПО, руководствуются смешанной мотивацией.

При этом около 5% кластеров активности, атакующих компании из России и стран СНГ с помощью коммерческого ВПО, нарушают предписания разработчиков, запретивших использовать свой софт для атак на организации этого региона. Такие запреты могут быть связаны с тем, что сами разработчики вредоносных программ физически находятся на территории СНГ — они рассчитывают, что их будет сложнее вычислить и привлечь к ответственности, если их софт не будет применяться против местных компаний.

Тренд на нарушение запретов создателей ВПО и «доработку» вредоносных программ наметился в 2023 году и усилился с начала 2024‑го. Его хорошо иллюстрирует деятельность группировки Stone Wolf, которую недавно обнаружили специалисты BI.ZONE Threat Intelligence.

К письму прилагался ZIP‑архив, в котором содержались файл цифровой подписи, легитимный документ для отвлечения пользователя, а также замаскированная под PDF‑файл вредоносная ссылка для загрузки Meduza Stealer. После установки на компьютер жертвы стилер начинал собирать информацию об операционной системе, процессоре, оперативной памяти и других параметрах скомпрометированного устройства, данные браузеров, установленных приложений, электронных кошельков и т. д.

Стилер Meduza появился в продаже на теневых ресурсах в июне 2023 года по цене 199 долларов за месяц использования, 399 долларов за три месяца или 1199 долларов за бессрочную лицензию. С марта 2024 года стали доступны дополнительные возможности: например, по цене от 20 долларов можно арендовать выделенный сервер с выбором параметров количества ядер, оперативной памяти и места на диске.

Как правило, когда становится известно о применении того или иного ВПО против компаний в странах СНГ, его продажи блокируют на теневых форумах, а разработчики переносят свою деятельность в Telegram.

Так, в августе 2023 года команда BI.ZONE Threat Intelligence выпустила исследование стилера White Snake. Злоумышленники распространяли вредоносную программу под видом требований Роскомнадзора, атакуя российские компании, несмотря на запрет разработчиков. Вскоре после публикации исследования тема о продаже White Snake на популярном теневом форуме была закрыта, и единственной площадкой для распространения стилера остался телеграм-канал разработчика. В настоящее время приобрести программу можно по цене от 200 (1 месяц использования) до 1950 долларов (бессрочная лицензия).

Похожая ситуация сложилась со стилером Rhadamantys, цены на который варьировались от 59 долларов за неделю использования до 999 долларов за бессрочную лицензию. Продажи стилера заблокировали на теневых ресурсах в апреле 2024 года, после того как стало известно, что группировка Sticky Werewolf применяет программу для атак на российские и белорусские организации.

Если злоумышленникам удалось обойти превентивные средства защиты и незаметно проникнуть в инфраструктуру, угрозу важно нейтрализовать до того, как бизнес понесет значительный ущерб. Отследить атаку на ранних стадиях и оперативно отреагировать на нее в автоматическом режиме либо с помощью команды кибербезопасности помогут решения для защиты конечных точек от сложных угроз, например BI.ZONE EDR. А обеспечить эффективную работу СЗИ, ускорить реагирование на инциденты и защититься от наиболее серьезных для компании угроз помогут данные о ландшафте киберугроз, получаемые с порталов киберразведки, например BI.ZONE Threat Intelligence.