Поделиться
Хакеры под видом российских судебных приставов рассылают усовершенствованные вредоносные программы
Эксперты центра исследования киберугроз Solar 4RAYS группы компаний «Солар» обнаружили новую мощную волну фишинговой кампании с использованием трояна удаленного доступа DarkWatchman RAT. Вредоносные письма, замаскированны под официальные уведомления от судебных приставов. В марте 2025 г. вирус уже получили несколько десятков организаций из разных регионов.
Новая волна кибератак
Мошенники начали рассылать компаниям вредоносные письма в виде официальных уведомлений от имени службы судебных приставов, об этом CNews сообщила пресс-служба ГК «Солар».
Специалисты центра исследования киберугроз Solar 4RAYS, входящего в группу компаний «Солар», выявили новую масштабную фишинговую кибератаку, использующую троян удаленного доступа DarkWatchman RAT.
Хакеры рассылают вредоносные письма, которые маскируются под официальные уведомления от Межрайонного отдела судебных приставов по исполнению постановлений налоговых органов (ИПНО) города Москвы. Эта вирусная кампания затронула десятки организаций из различных регионов России. Попадая на компьютер жертвы, троян обеспечивает киберпреступникам скрытый доступ к сети, позволяя собирать конфиденциальные данные.
DarkWatchman RAT — не новичок в киберпреступном мире. Впервые он проявился в ИТ-атаках на российские компании еще в 2021 г., и с тех пор его использование не прекращается. Злоумышленники регулярно обновляют тактику: меняют сценарии рассылок, совершенствуют методы доставки и усложняют структуру вируса. Эти усовершенствования делают его более устойчивым к обнаружению антивирусами и затрудняют анализ специалистами по кибербезопасности.
Последний всплеск активности был зафиксирован в конце февраля 2025 г. благодаря ИТ-системе сенсоров и ханипотов Solar 4RAYS. Количество обращений к управляющему серверу трояна выросло почти в пять раз, что указывает на резкое увеличение масштаба кибератаки. Эксперты отмечают, что текущая волна стала самой интенсивной с начала 2025 г. Несколько клиентов «Солара» сообщили о подозрительных письмах, которые были оперативно помещены в карантин и переданы на проверку специалистам центра.
Сама же ГК «Солар» предоставляет ИТ-решения по информационной безопасности (ИБ) организациям от малого бизнеса до крупнейших предприятий ключевых отраслей, его клиентами являются более 850 крупнейших компаний России. Подразделения «Солар» расположены в Москве, Санкт-Петербурге, Нижнем Новгороде, Самаре, Ростове-на-Дону, Томске, Хабаровске и Ижевске.
Особенности ИТ-атак
В этой кампании фишинговые письма оформлены как официальные документы от Межрайонного отдела судебных приставов по ИПНО Москвы, но отправлены с поддельного адреса электронной почты. В каждом сообщении содержится архив с названием вроде «Исполнительный лист №27186421-25 от <дата>.zip». Внутри архива находится исполняемый файл, который при запуске устанавливает DarkWatchman RAT на устройство пользователя-жертвы.
Функционал трояна включает в себя кейлоггер — ИТ-инструмент, который незаметно записывает все нажатия клавиш, позволяя хакерам перехватывать пароли, банковские данные и другую личную информацию. Кроме того, DarkWatchman обладает возможностями бэкдора: он предоставляет удаленный доступ к зараженной ИТ-системе, позволяя загружать дополнительные файлы, выполнять команды и управлять устройством на расстоянии. Это делает его особенно опасным для корпоративных сетей, где утечка данных может привести к серьезным последствиям.
«Несмотря на внешнюю простоту, подобные вредоносы представляют серьезную угрозу для корпоративной и личной кибербезопасности. Атакующие с 2021 года проводят все новые рассылки и совершенствуют DarkWatchman RAT в части техник обхода средств защиты. Например, исследованный нами образец использовал технику Reflective DLL Loading, которая не оставляет следов на диске атакованного компьютера и таким образом затрудняет обнаружение заражения защитными средствами», — отметил эксперт центра исследования киберугроз Solar 4RAYS ГК «Солар» Иван Тимков.
Рекомендации по кибербезопасности
Для того чтобы защититься от подобных угроз, эксперты Solar 4RAYS рекомендуют российским компаниям регулярно обучать сотрудников основам кибербезопасности, чтобы те могли распознавать подозрительные письма.
ИБ-специалисты также советуют внедрять ИТ-решения вроде Secure Email Gateway — ИТ-систем защиты электронной почты, которые блокируют фишинговые сообщения еще до того, как они дойдут до адресата.
Эти меры могут значительно снизить риск заражения и распространения таких вредоносов, как DarkWatchman RAT, в корпоративной среде.
DDoS-атаки переходят в регионы
В 2024 г. хакеры нарастили свои мощности и стали значительно чаще атаковать региональный бизнес. Главной целью злоумышленников стали финансовые организации, заметный всплеск DDoS-атак наблюдался и в отрасли недвижимости — среднее число кибератак на одну компанию из данного сектора за два года выросло более чем в два раза.
По данным сервиса Anti-DDoS, cреднее число атак на одну компанию выросло в 1,8 раза по сравнению с 2023 г., до 132, однако общая доля атакуемых организаций снизилась на 6 п., до 69% год к году. Это говорит о том, что хакеры не только нарастили свои мощности, но и стали более тщательно подбирать компании для достижения наиболее разрушительного эффекта, в том числе в регионах. «Для защиты от таких прицельных ударов мы рекомендуем внедрить систему противодействия сетевым DDoS-атакам, которая будет включать как общую очистку от мощных атак на магистральном уровне интернет-провайдера, так и тонкую канальную очистку для интернет-сервисов с малой емкостью. Такой комплексный подход в выстраивании защиты от киберугроз актуален как для компаний уровня Enterprise, так и для среднего и малого бизнеса», — отметил руководитель направления Anti-DDoS ГК «Солар» Cергей Левин.
Больше всего от DDoS-атак пострадал финансовый сектор — среднее число атак на одну компанию из данной отрасли выросло на 40% год к году. Всплеск пришелся на июль, когда одновременно были атакованы крупнейшие банковские организации России, но к IV кварталу 2024 г. количество атак на банки снизилось.
Впервые за долгое время второе место в топе наиболее атакуемых отраслей заняла недвижимость — застройщики жилищных комплексов, социальных объектов и владельцы крупных общественных площадок. Причиной стало большое количество DDoS-атак на онлайн-ресурсы концертных залов и стадионов в I квартале 2024 г. — это период выборов Президента России и множества культурных и спортивных мероприятий. Только за январь-март 2024 г. произошло порядка 57% всех кибератак на эту отрасль. Традиционно в топе остались и ИТ-компании, а также организации госсектора и телекома, которые всегда были в зоне интереса хакеров.
Короткая ссылка
