Аналитики Bi.Zone обратили внимание, что с начала 2024 года для атак на российские компании все чаще используется коммерческое вредоносное ПО, разработчики которого запрещают применять его против организаций в странах СНГ. Однако атакующие отключают региональные ограничения и «пиратские» версии малвари распространяются на хак-форумах и в Telegram.
По словам экспертов, в 73% случаев коммерческую малварь используют финансово мотивированные злоумышленники, которые стремятся получить выкуп от своих жертв или перепродать украденные данные в даркнете. Значительно реже (в 14% случаев) такую малварь применяют в целях шпионажа, а на долю хактивистов приходится всего 3% подобных атак.
При этом около 5% кластеров активности, атакующих компании из России и стран СНГ нарушают предписания разработчиков коммерческой малвари, которые запрещают использовать свой софт для атак на организации этого региона. Такие запреты зачастую быть связаны с тем, что сами разработчики малвари находятся на территории СНГ и рассчитывают, что их будет сложнее вычислить и привлечь к ответственности, если их софт не будет применяться против местных компаний.
Тренд на нарушение запретов и «доработку» малвари наметился в 2023 году и усилился в начале текущего года. Исследователи отмечают, что это хорошо иллюстрирует активность недавно обнаруженной группировки Stone Wolf.
«Группировка Stone Wolf совершила не менее 9 атак на российские компании с использованием стилера Meduza. По заверениям разработчиков, в него встроен модуль, ограничивающий реализацию атак на территории СНГ. Однако Stone Wolf модифицировала софт, отключив функцию запрета. Доработанный таким образом стилер преступники рассылали во вложениях к фишинговым письмам от лица реальной компании, которая работает в сфере промышленной автоматизации», — комментирует Олег Скулкин, руководитель BI.ZONE Threat Intelligence.
Стилер Meduza появился в продаже в июне 2023 года по цене 199 долларов за месяц использования, 399 долларов за три месяца или 1199 долларов за бессрочную лицензию. С марта 2024 года для покупателей доступны дополнительные возможности: например, по цене от 20 долларов можно арендовать выделенный сервер с выбором параметров количества ядер, оперативной памяти и места на диске.
Исследователи пишут, что как правило, когда становится известно о применении того или иного вредоноса против компаний в странах СНГ, его продажи блокируются на хак-форумах, а разработчики переносят свою деятельность в Telegram.
К примеру, в августе 2023 года специалисты опубликовали отчет о стилере White Snake. Тогда злоумышленники распространяли малварь под видом требований Роскомнадзора, атакуя российские компании, несмотря на запрет разработчиков. Вскоре после публикации исследования тема о продаже White Snake на популярном теневом форуме была закрыта, и единственной площадкой для распространения стилера остался Telegram-канал разработчика. В настоящее время приобрести малварь можно по цене от 200 (месяц использования) до 1950 долларов (бессрочная лицензия).
Похожая ситуация сложилась и со стилером Rhadamantys, цены на который варьировались от 59 долларов за неделю использования до 999 долларов за бессрочную лицензию. Продажи стилера заблокировали на на хак-форумах в апреле 2024 года, после того как обнаружилось, что группировка Sticky Werewolf применяет стилер для атак на российские и белорусские организации.
