Десять самых распространённых семейств вредоносного ПО в России по версии Positive Technologies
Шпионские программы из семейства FormBook, Agent Tesla и Snake Keylogger чаще всего встречались среди вредоносного программного обеспечения (ВПО) в России в 2024 и первом квартале 2025 года, свидетельствует рейтинг Positive Technologies, сообщает компания в четверг.
Заметно укрепило позиции семейство шпионского ПО Snake Keylogger: в сравнении с 2023 годом количество обнаружений увеличилось более чем в 30 раз. Вероятно, это связано со сменой приоритетов злоумышленников с финансовой выгоды на получение доступа к данным. В числе наиболее распространенных также остаются шпионские вредоносы FormBook и Agent Tesla — в рассматриваемый период последний встречался в три раза чаще, чем в предыдущий. Во многом это объясняется простотой их использования злоумышленниками, широким набором функций и доступностью в дарквебе, в том числе по схеме malware as a service (MaaS).
В ряду востребованных среди киберпреступников оказался бэкдор Carbon, объединяющий функции ВПО для удаленного доступа (remote access trojan, RAT), стилера (вредоносное программное обеспечение для кражи паролей пользователей), кейлоггера (программное средство, используемое для регистрации и сохранения нажатий клавиш на клавиатуре пользователя без его ведома) и криптомайнера (вредоносное программное обеспечение, которое без разрешения на то владельца компьютера использует вычислительные ресурсы с целью добычи криптовалюты): число случаев его использования увеличилось в восемь раз. Резко выросли по количеству обнаружений, впервые попав в топ-10, RAT DarkWatchman и модульный ботнет Prometei (модульный ботнет — сеть заражённых устройств (ботов), которая состоит из отдельных модулей с разными функциями).
В результате анализа поведения ВПО эксперты Positive Technologies определили, что наибольшую популярность у атакующих набирают техники, связанные со сбором информации, шпионажем и маскировкой действий. При этом чаще всего злоумышленники использовали ВПО для захвата аудиопотока с микрофона, динамиков и других источников. Интересно, что в 2023 году техника Audio Capture не входила даже в топ-10. Вероятно, интерес хакеров продиктован тем, что некоторые аудиоданные можно использовать в атаках методом социальной инженерии, например для создания голосовых дипфейков.
В исследовании компании отмечается, что киберпреступники все реже используют грубые и заметные методы закрепления в системе, предпочитая более скрытные: например, удаление журналов, временных файлов и других следов активности, а также манипуляции токенами доступа для повышения привилегий или выполнения действий от лица легитимного пользователя.
Чаще других жертвами атак с использованием ВПО становились государственные учреждения, предприятия промышленного сектора и IT-компании. Интерес к первым связан с доступом к критически важным данным и системам, ко вторым — с возможностью нарушить технологические процессы, а к третьим — с перспективой компрометации цепочек поставок программного обеспечения и выхода на другие компании. Основным методом доставки вредоносов в атаках на организации по-прежнему остается электронная почта.
Исследование основано на публичных сведениях об инцидентах информационной безопасности за период с 2024 года до конца первой половины 2025 года, собственной экспертизе Positive Technologies, результатах анализа вредоносного ПО продуктом PT Sandbox на территории России за период с 2024 года до конца первого квартала 2025 года, на данных о работе сервиса по проверке защищенности электронной почты PT Knockin, а также на исследованиях авторитетных организаций и экспертов, говорится в сообщении.
Фото (с) freepik/rawpixel.com