Исследователи компании F6 завершили масштабное расследование деятельности хакерской группировки NyashTeam, которая на протяжении трех лет успешно функционировала как MaaS-провайдер (Malware-as-a-Service). Результатом работы аналитиков стала блокировка более 110 доменов в зоне .ru и существенное ограничение возможностей киберпреступников, атаковавших пользователей в 50 странах мира.
Бизнес-модель современной киберпреступности
Группировка NyashTeam демонстрирует эволюцию современных киберугроз, работая по модели «Малварь как услуга» с 2022 года. Преступники создали полноценную экосистему, включающую разработку вредоносного ПО, хостинг-услуги для криминальной инфраструктуры и техническую поддержку клиентов через специализированные плагины и обучающие материалы.
Основными продуктами группировки являются два семейства малвари: DCRat — бэкдор для удаленного управления зараженными устройствами, и WebRat — инструмент для кражи браузерных данных, включая пароли, cookie и информацию автозаполнения форм.
Ценовая политика и методы распространения
Успех NyashTeam во многом обусловлен доступной ценовой политикой. Месячная подписка на DCRat обходится клиентам всего в 4 доллара, WebRat стоит 25 долларов в месяц, а веб-хостинг предлагается по цене 13 долларов за два месяца. Оплата принимается как через российские платежные системы, так и криптовалютными переводами.
Клиенты группировки активно используют популярные платформы для распространения малвари. На YouTube злоумышленники создают поддельные или взламывают существующие аккаунты для размещения видео с рекламой игровых читов и пиратского ПО. На GitHub вредоносные программы маскируются под легитимные утилиты в публичных репозиториях.
Инфраструктура и масштабы операции
За время существования группировки в ее инфраструктуре было задействовано более 350 доменов второго уровня. Хакеры использовали характерные названия, содержащие вариации слова «nyash» и названия своих продуктов. Пик регистрации вредоносных доменов пришелся на период с декабря 2024 по февраль 2025 года.
Особенностью группировки является ориентация на русскоязычную аудиторию. Большинство атак направлялось против российских пользователей, включая целенаправленные фишинговые кампании против компаний из сфер логистики, нефтегазовой отрасли, геологии и информационных технологий.
Результаты противодействия и блокировки
Благодаря сотрудничеству CERT-F6 с Координационным центром доменов .RU/.РФ удалось заблокировать более 110 доменов в российской зоне. Дополнительно четыре домена в других зонах находятся в процессе блокировки. Также были удалены Telegram-канал с исходным кодом WebRat и обучающие видеоматериалы хакеров.
Экспертная оценка эффективности
По словам Владислава Кугана, аналитика отдела исследования кибератак Threat Intelligence компании F6, случай NyashTeam наглядно демонстрирует возможность успешного противодействия MaaS-операторам через анализ и блокировку их инфраструктуры.
Разоблачение NyashTeam подчеркивает важность комплексного подхода к борьбе с современными киберугрозами. Успешное противодействие MaaS-провайдерам требует координации усилий исследователей безопасности, регулирующих органов и операторов интернет-инфраструктуры. Пользователям следует проявлять особую осторожность при загрузке программного обеспечения из неофициальных источников и использовать современные решения для защиты от вредоносных программ.
