З початку 2024 року експерти з кібербезпеки спостерігають тривожну тенденцію: зростання використання комерційного шкідливого програмного забезпечення (малвару) для атак на компанії в країнах СНД. Це відбувається незважаючи на те, що розробники такого ПЗ часто забороняють його застосування проти організацій у цьому регіоні. Аналітики Bi.Zone провели детальне дослідження цього феномену, виявивши низку цікавих закономірностей та потенційних загроз.
Мотивації та методи зловмисників
За даними експертів, у 73% випадків комерційний малвар використовується фінансово мотивованими злочинцями. Їхня мета – отримати викуп від жертв або продати викрадені дані в даркнеті. Значно рідше (14% випадків) таке ПЗ застосовується для промислового шпигунства. На частку хактивістів припадає лише 3% подібних атак.
Цікаво, що близько 5% хакерських груп, які атакують компанії з Росії та інших країн СНД, свідомо порушують заборони розробників комерційного малвару. Ці заборони часто пов’язані з тим, що самі розробники знаходяться на території СНД і сподіваються уникнути відповідальності, якщо їхній софт не буде використовуватися проти місцевих організацій.
Тренд на модифікацію шкідливого ПЗ
Дослідники відзначають, що тенденція до порушення заборон та “доопрацювання” малвару намітилася в 2023 році і посилилася на початку 2024 року. Яскравим прикладом є діяльність нещодавно виявленої групи Stone Wolf, яка здійснила щонайменше 9 атак на російські компанії з використанням модифікованого стилера Meduza.
Олег Скулкін, керівник BI.ZONE Threat Intelligence, пояснює: “Розробники Meduza заявляють про вбудований модуль, що обмежує атаки на території СНГ. Однак Stone Wolf модифікувала софт, відключивши цю функцію. Змінений стилер розсилався у вкладеннях до фішингових листів від імені реальної компанії, що працює у сфері промислової автоматизації”.
Ціни та доступність комерційного малвару
Стилер Meduza з’явився у продажу в червні 2023 року за ціною від 199 доларів за місяць використання до 1199 доларів за безстрокову ліцензію. З березня 2024 року покупцям стали доступні додаткові опції, наприклад, оренда виділеного сервера за ціною від 20 доларів.
Реакція ринку на зловживання
Коли стає відомо про застосування того чи іншого шкідливого ПЗ проти компаній у країнах СНД, його продажі зазвичай блокуються на хакерських форумах. Розробники переносять свою діяльність у Telegram, де продовжують розповсюджувати свої продукти.
Наприклад, після виявлення атак з використанням стилера White Snake на російські компанії, його продаж на популярному тіньовому форумі була припинена. Єдиним майданчиком для розповсюдження залишився Telegram-канал розробника. Аналогічна ситуація склалася зі стилером Rhadamantys після того, як група Sticky Werewolf застосувала його для атак на російські та білоруські організації.
Ця тенденція демонструє зростаючу складність контролю за розповсюдженням та використанням комерційного шкідливого ПЗ. Організаціям у країнах СНД необхідно посилити заходи кібербезпеки, враховуючи нові методи атак та можливість використання модифікованого малвару. Постійний моніторинг загроз, навчання персоналу та впровадження сучасних систем захисту стають критично важливими для протидії цим викликам.