Поделиться
Positive Technologies назвала десять самых распространенных семейств вредоносного ПО в России
По данным Positive Technologies, наиболее часто среди вредоносного программного обеспечения (ВПО) в России встречались шпионские программы из семейства FormBook, Agent Tesla и Snake Keylogger. Впервые в топ-10 вошли вредонос для удаленного доступа DarkWatchman и модульный ботнет (сеть зараженных устройств — ботов, которая состоит из отдельных модулей с разными функциями) Prometei. Рейтинг основан на данных, полученных в результате анализа ВПО продуктом PT Sandbox за 2024 г. и I квартал 2025 г. Об этом CNews сообщили представители Positive Technologies.
Заметно укрепило позиции семейство шпионского ПО Snake Keylogger: в сравнении с 2023 г. количество обнаружений увеличилось более чем в 30 раз. Вероятно, это связано со сменой приоритетов злоумышленников с финансовой выгоды на получение доступа к данным. В числе наиболее распространенных также остаются шпионские вредоносы FormBook и Agent Tesla — в рассматриваемый период последний встречался в три раза чаще, чем в предыдущий. Во многом это объясняется простотой их использования злоумышленниками, широким набором функций и доступностью в дарквебе, в том числе по схеме malware as a service (MaaS).
В ряду востребованных среди киберпреступников оказался бэкдор Carbon, объединяющий функции ВПО для удаленного доступа (remote access trojan, RAT), стилера (вредоносное программное обеспечение для кражи паролей пользователей), кейлоггера (программное средство, используемое для регистрации и сохранения нажатий клавиш на клавиатуре пользователя без его ведома) и криптомайнера (вредоносное программное обеспечение, которое без разрешения на то владельца компьютера использует вычислительные ресурсы с целью добычи криптовалюты): число случаев его использования увеличилось в восемь раз. Резко выросли по количеству обнаружений, впервые попав в топ-10, RAT DarkWatchman и модульный ботнет Prometei.
В результате анализа поведения ВПО эксперты Positive Technologies определили, что наибольшую популярность у атакующих набирают техники, связанные со сбором информации, шпионажем и маскировкой действий. При этом чаще всего злоумышленники использовали ВПО для захвата аудиопотока с микрофона, динамиков и других источников. Интересно, что в 2023 г. техника Audio Capture не входила даже в топ-10. Вероятно, интерес хакеров продиктован тем, что некоторые аудиоданные можно использовать в атаках методом социальной инженерии, например для создания голосовых дипфейков.
В исследовании компании отмечается, что киберпреступники все реже используют грубые и заметные методы закрепления в системе, предпочитая более скрытные: например, удаление журналов, временных файлов и других следов активности, а также манипуляции токенами доступа для повышения привилегий или выполнения действий от лица легитимного пользователя.
Чаще других жертвами атак с использованием ВПО становились государственные учреждения, предприятия промышленного сектора и ИТ-компании. Интерес к первым связан с доступом к критически важным данным и системам, ко вторым — с возможностью нарушить технологические процессы, а к третьим — с перспективой компрометации цепочек поставок программного обеспечения и выхода на другие компании. Основным методом доставки вредоносов в атаках на организации по-прежнему остается электронная почта.
«В ближайшие пару лет использование ВПО сохранит свое лидерство в методах атакующих, поскольку с помощью вредоносов можно автоматизировать большинство этапов атаки. Особенно актуальными останутся программы-вымогатели, шпионское ПО и трояны удаленного доступа — как наиболее результативные. При этом атаки будут более скрытными, персонализированными и технологичными, с акцентом на сбор конфиденциальной информации, манипуляцию сессиями и обход систем обнаружения», — сказал Федор Чунижеков, руководитель исследовательской группы Positive Technologies.
Надежная защита от вредоносного ПО требует системного подхода, сочетающего как технические, так и организационные меры, включая работу с персоналом. Злоумышленники все чаще упаковывают, шифруют и делают ВПО похожим на легитимные приложения. Чтобы выявлять и блокировать его нулевые и модифицированные версии, необходимо использовать песочницы, применяющие алгоритмы машинного обучения для точного детектирования нелегитимного поведения. Так, PT Sandbox выявляет вредоносные действия файла, который на первый взгляд кажется безопасным, и защищает от угроз нулевого дня.
Исследование основано на публичных сведениях об инцидентах информационной безопасности за период с 2024 г. до конца первой половины 2025 г., собственной экспертизе Positive Technologies, результатах анализа вредоносного ПО продуктом PT Sandbox на территории России за период с 2024 г. до конца I квартала 2025 г., на данных о работе сервиса по проверке защищенности электронной почты PT Knockin, а также на исследованиях авторитетных организаций и экспертов.
Короткая ссылка
