Bi.Zone: Самое популярное коммерческое ВПО, применяемое для атак на российские компании
Эксперты Bi.Zone Threat Intelligence представили отчет «Семь ликов тьмы», в котором разобрали семь семейств вредоносного программного обеспечения (ВПО), распространяющихся по модели MaaS (malware-as-a-service). В отчет вошло ВПО, которое активно применяется в атаках на российские компании. Его следы встречаются в более чем 80% вредоносного трафика, поступающего на корпоративные почтовые серверы. В 2023 г. с помощью описанного ВПО злоумышленники атаковали более 100 тыс. организаций в мире. Об этом CNews сообщили представители Bi.Zone.
На теневых форумах и в телеграм-каналах есть много обсуждений, в которых разработчики предлагают арендовать ВПО по модели MaaS. Его часто приобретают злоумышленники, которым не хватает компетенций для собственной разработки. Коммерческое ВПО значительно снижает порог входа в киберпреступность, делает инструменты атак доступнее и упрощает проникновение в корпоративный периметр.
Олег Скулкин, руководитель Bi.Zone Threat Intelligence: «Распространение фишинговых писем с коммерческим ВПО — один из самых простых способов получения первоначального доступа к инфраструктуре. Теневой рынок таких продуктов будет расти и развиваться. Уже сейчас некоторые из предложений включают билдеры для создания экземпляров ВПО, доступ к панели управления скомпрометированными устройствами, а еще обновления и поддержку в мессенджере. Ситуация осложняется тем, что купить ВПО в ряде случаев можно за весьма символическую сумму: встречаются взломанные образцы стоимостью от 299 руб., а в некоторых случаях и вовсе доступны бесплатные неофициальные версии».
Чаще всего по модели MaaS разработчики предлагают один из трех видов ВПО: загрузчики, RAT или стилеры. Реже программное обеспечение включает функциональные возможности сразу всех типов. Из-за своей доступности инструменты получили широкое распространение среди хактивистов, киберпреступников, а также прогосударственных хакеров.
Самые активные семейства коммерческого ВПО, которые применяются в атаках на российские компании, и их доля во вредоносном почтовом трафике:
1. AgentTesla (40% трафика). Шпионское ПО Agent Tesla похищает и передает на сервер атакующих учетные данные пользователя из различных источников: браузеров, почтовых клиентов, клиентов FTP/SCP, программ удаленного доступа, VPN и нескольких мессенджеров. ВПО способно регистрировать данные буфера обмена, делать снимки экрана устройства и записывать нажатия клавиш. На теневых форумах сейчас распространяется бесплатная неофициальная версия.
2. FormBook (20% трафика). FormBook позиционировалась как шпионская программа для перехвата логинов и паролей. Она позволяла получить сохраненные данные из Edge, Firefox, Chrome, Internet Explorer, Outlook, Thunderbird, а также перехватывать трафик и записывать нажатия клавиш. В конце 2018 г. продажи FormBook прекратились, однако в свободном доступе распространяется взломанная версия.
3. White Snake (15% трафика). Стилер White Snake собирает учетные данные из подобных Chromium и Firefox браузеров, файлы, например документы, а также данные из реестра. Помимо этого, у него есть возможность записывать видео с экрана, выполнять команды и загружать дополнительное ВПО. После сообщения Bi.Zone о распространении стилера под видом требований Роскомнадзора была закрыта тема по продаже White Snake на популярном теневом форуме. Сейчас его распространяют через телеграм-канал. Стоимость начинается от $140 в месяц и достигает $1950 за бессрочную лицензию.
4. RedLine (7% трафика). Стилер RedLine способен извлекать учетные данные из браузеров, электронной почты, мессенджеров, VPN и др. Его стоимость составляет $150 за месяц использования и достигает $900 за бессрочную лицензию. Помимо официальных предложений, в теневом сегменте встречаются объявления о перепродаже пожизненной лицензии за $500.
5. Snake Keylogger (1% трафика). Snake Keylogger — это стилер, который может получать учетные данные из более чем 40 браузеров, а также из таких приложений, как Discord, Outlook, Foxmail и FileZilla. Еще он способен перехватывать нажатия клавиш пользователя, создавать снимки экрана и собирать данные о системе. Цены на подписку варьируются от $40 за месяц до $195 за полгода. В открытом доступе находятся исходный код и модификации одной из ранних версий стилера.
6. DarkCrystal (1% трафика). Модульный троян DarkCrystal продается на теневых форумах с 2019 г. В Telegram есть посвященная ему группа, где публикуются новости и обновления. Троян предоставляется по системе подписок: при покупке пользователь получает билдер и выделенный сервер, с которого злоумышленники управляют зараженными устройствами.
7. DarkGate (1% трафика). DarkGate позволяет получать учетные данные пользователей из браузеров, криптокошельков, Telegram и Discord, перехватывать нажатия клавиш, собирать данные о системе, например версии установленного антивирусного ПО, имена пользователя и устройства. Помимо этого, DarkGate может управлять файлами, процессами и питанием устройства, устанавливать прокси-сервер и вредоносные расширения для браузеров, а также использовать протокол удаленного рабочего стола. DarkGate предназначен для реализации сложных атак, месячная лицензия стоит $15 тыс..
Фишинговая рассылка — один из главных способов получить первоначальный доступ во время целевых атак. Чтобы защититься от нее, следует использовать специализированные решения, которые блокируют спам и вредоносные письма. Эффективно реагировать на новые угрозы помогут сервисы непрерывного мониторинга ИТ-инфраструктуры: они позволяют оперативно распознать продвинутые атаки и нейтрализовать угрозы.
***
Bi.Zone — компания по управлению цифровыми рисками. Bi.Zone разрабатывает собственные продукты для обеспечения устойчивости ИТ‑инфраструктур любого размера и оказывает услуги по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 г. компания реализовала более 1200 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и др, защитив свыше 500 клиентов в 15 странах мира.