Поделиться
Операция «Ликвидация»: аналитики F6 помогли заблокировать инфраструктуру киберпреступной группы NyashTeam
Специалисты компании F6 раскрыли сеть доменов группировки NyashTeam, которая распространяет вредоносное ПО и предоставляет злоумышленникам хостинг-услуги. Клиенты группировки атаковали пользователей как минимум в 50 странах мира, в том числе в России. Сейчас более 110 доменов в зоне .ru, которые использовала группировка, уже заблокированы. Об этом CNews сообщили представители F6.
Аналитики департамента киберразведки (Threat Intelligence) и департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 представили отчет о блокировке инфраструктуры киберпреступной группировки NyashTeam.
Эта группировка активна как минимум с 2022 г. Она распространяет по подписке через Telegram-боты и веб-сайты вредоносное программное обеспечение (ВПО), а также предоставляет хостинг-услуги для киберпреступной инфраструктуры. Большинство целей, которые злоумышленники атаковали с помощью инструментов NyashTeam, находятся в России.
Группировка распространяла вредоносный софт по модели MaaS (Malware-as-a-Service, вредоносное программное обеспечение как услуга). Такая модель позволяет даже начинающим злоумышленникам выполнять сложные атаки без специальной подготовки. Киберпреступные платформы, созданные по модели MaaS, распространяют готовые вредоносные программы, в которых инфраструктура уже настроена, панель управления интуитивно понятна, а инструкции чуть сложнее школьного букваря. Клиентам киберпреступных сервисов остается только заплатить за право пользования вредоносным софтом и сразу приступить к его использованию. Чем доступнее ВПО, тем больше кибератак – вот почему для эффективного противодействия киберпреступности такие платформы важно оперативно выявлять и блокировать.
Группировка NyashTeam ориентируется прежде всего на русскоязычную аудиторию, но ее инструментами пользуются и другие злоумышленники из разных стран мира.
Причина такой «популярности» – относительно низкая стоимость ВПО. Стоимость подписки на бэкдор DCRat (предназначен для удаленного управления зараженными устройствами) – 349 руб. в месяц. Стоимость месячной подписки на ВПО WebRat (специализируется на краже учетных данных браузеров, включая пароли, cookies и данные автозаполнения) – 1,199 тыс. руб., а веб-хостинга – 999 руб. на два месяца.
В большинстве случаев клиенты группировки распространяют ВПО через платформы YouTube и GitHub. Этим атакам подвергаются как геймеры, которые ищут читы, так и пользователи, желающие бесплатно получить необходимые программы. В YouTube злоумышленники используют фальшивые или взломанные аккаунты для загрузки видео, рекламирующих читы для игр, кряки лицензионного ПО или игровые боты. Ссылки под такими видео ведут на файлообменники, где под видом читов и кряков предлагается скачать архив с вредоносным ПО. На GitHub вредоносный софт от NyashTeam маскируют под взломанные версии лицензионного ПО, утилиты или читы, размещенные в публичных репозиториях.
Специалисты F6 обнаружили, что с момента начала активности группировки NyashTeam в 2022 г. в ее инфраструктуре были задействованы более 350 доменов второго уровня. Наибольшая активность регистрации вредоносных доменов пришлась на декабрь 2024 г. и январь-февраль 2025 г. Специалисты F6 фиксировали не только активный рост количества доменов, используемых NyashTeam, но и их применение в атаках злоумышленников. Например, в 2024 году клиенты группировки рассылали фишинговые письма с ВПО DCRat в адрес российских компаний, работающих в сферах логистики, нефтегазовой добычи, геологии и ИT.
CERT-F6 направил на блокировку вредоносные домены, связанные с группировкой NyashTeam, в Координационный центр доменов .RU/.РФ. По данным на 21 июля 2025 года уже заблокированы более 110 доменов в зоне .ru. Также заблокирован Telegram-канал с исходным кодом WebRat и четыре обучающих видео на популярном видеохостинге.
«Кейс NyashTeam наглядно доказывает: инфраструктуру MaaS-операторов, распространяющих вредоносное ПО, можно обнаружить и эффективно заблокировать. Анализ и последующая блокировка доменов, используемых группировкой NyashTeam, позволили как минимум на время существенно ограничить возможности распространения угроз и затруднить работу злоумышленников», – сказал Владислав Куган, аналитик отдела исследования кибератак Threat Intelligence компании F6.
Для предотвращения и защиты от возможных кибератак c использованием вредоносного программного обеспечения, распространяемого группировкой NyashTeam, и атак групп со схожими техниками специалисты компании F6 рекомендуют следующие меры.
Избегайте загрузки программного обеспечения из непроверенных источников, в том числе через YouTube, GitHub или файлообменники. Регулярно обучайте сотрудников методам распознавания фишинга и других форм социальной инженерии. Применяйте данные киберразведки, например, F6 Threat Intelligence, для проактивного поиска и обнаружения угроз. Это поможет вовремя идентифицировать и нейтрализовать потенциальные опасности. Используйте передовые решения для защиты электронной почты с целью предотвращения вредоносных рассылок. Внедряйте современные средства для обнаружения и реагирования на киберугрозы.
Короткая ссылка
