Експерти з кібербезпеки компанії F6 завершили тривале розслідування діяльності хакерського угруповання NyashTeam, яке протягом трьох років надавало послуги Malware-as-a-Service (MaaS). Результатом операції стало блокування понад 110 доменів у зоні .ru та суттєве обмеження можливостей кіберзлочинців, які атакували користувачів у 50 країнах світу.
Еволюція кіберзлочинності: від індивідуальних атак до бізнес-моделі
Угруповання NyashTeam демонструє нову еру кіберзагроз, функціонуючи за моделлю “Шкідливе ПЗ як послуга” з 2022 року. Злочинці створили повноцінну екосистему, що включає розробку вірусного програмного забезпечення, хостинг-послуги для кримінальної інфраструктури та технічну підтримку клієнтів через спеціалізовані плагіни й навчальні матеріали.
Основними продуктами групи є два сімейства малварі: DCRat — бекдор для віддаленого керування інфікованими пристроями, та WebRat — інструмент для крадіжки браузерних даних, включаючи паролі, cookies та інформацію автозаповнення форм.
Доступна ціна як ключ до масового розповсюдження
Успіх NyashTeam значною мірою зумовлений доступною ціновою політикою. Місячна підписка на DCRat коштує клієнтам лише 5$, WebRat — 15$ на місяць, а веб-хостинг пропонується за ціною 13$ за два місяці. Оплата приймається як через російські платіжні системи, так і криптовалютними переказами.
Клієнти угруповання активно використовують популярні платформи для поширення шкідливого ПЗ. На YouTube зловмисники створюють підроблені або зламують існуючі акаунти для розміщення відео з рекламою ігрових читів та піратського ПЗ. На GitHub вірусні програми маскуються під легітимні утиліти в публічних репозиторіях.
Масштаби кіберімперії та її інфраструктура
За час існування групи в її інфраструктурі було задіяно понад 350 доменів другого рівня. Хакери використовували характерні назви, що містили варіації слова “nyash” та назви своїх продуктів. Пік реєстрації шкідливих доменів припав на період з грудня 2024 по лютий 2025 року.
Особливістю угруповання є орієнтація на російськомовну аудиторію. Більшість атак спрямовувалася проти російських користувачів, включаючи цілеспрямовані фішингові кампанії проти компаній зі сфер логістики, нафтогазової галузі, геології та інформаційних технологій.
Географічний охоплення та цільова аудиторія
Аналіз показав, що NyashTeam активно працювала в 50 країнах світу, проте основний фокус зберігався на пострадянському просторі. Злочинці використовували локалізований контент та культурні особливості для підвищення ефективності своїх атак.
Координована відповідь: результати блокування та протидії
Завдяки співпраці CERT-F6 з Координаційним центром доменів .RU/.РФ вдалося заблокувати понад 110 доменів у російській зоні. Додатково чотири домени в інших зонах перебувають у процесі блокування. Також були видалені Telegram-канал з вихідним кодом WebRat та навчальні відеоматеріали хакерів.
За словами Владислава Кугана, аналітика відділу дослідження кібератак Threat Intelligence компанії F6, випадок NyashTeam наочно демонструє можливість успішної протидії MaaS-операторам через аналіз та блокування їхньої інфраструктури.
Розкриття діяльності NyashTeam підкреслює важливість комплексного підходу до боротьби з сучасними кіберзагрозами. Ефективна протидія MaaS-провайдерам вимагає координації зусиль дослідників безпеки, регулюючих органів та операторів інтернет-інфраструктури. Користувачам варто проявляти особливу обережність при завантаженні програмного забезпечення з неофіційних джерел та використовувати сучасні рішення для захисту від шкідливих програм.
