01.09.2025 10:27
ptsecurity 1 502 Источник

Совсем недавно мы выпустили аналитику про вредоносное ПО и его роль в кибератаках на Россию. Исследование большое и толстое (как это обычно у нас бывает), его, если захотите, можно почитать у нас на сайте. А в этой статье расскажу про самые популярные в России вредоносы. Мы сделали специальную подборку из десятка самых распространенных семейств ВПО в 2024 и первом квартале 2025 года. Итак, погнали!

Основные семейства ВПО, обнаруженные PT Sandbox (2024—Q1 2025)
Основные семейства ВПО, обнаруженные PT Sandbox (2024—Q1 2025)

В топе нашего хит-парада обосновались шпионские программы.

? Шпионский троян Snake Keylogger заметно укрепил свои позиции за пару лет. В сравнении с 2023 годом количество обнаружений увеличилось более чем в 30 раз. Вероятно, это связано со сменой приоритетов злоумышленников с финансовой выгоды на получение доступа к данным.

?«Шпионы» Agent Tesla и FormBook, обладатели второго и третьего мест, остаются в числе наиболее распространенных в рассматриваемый период. Во многом это объясняется простотой их использования злоумышленниками, широким набором функций и доступностью в дарквебе, в том числе по схеме malware as a service (MaaS).

? Четвертое место занял вредонос, скрывающийся в файлах-картинках – Steganoloader. Про метод стеганографии, используемый одной из хакерских группировок, рассказывали коллеги из нашего экспертного центра безопасности (PT ESC) в этой статье.

Впервые в топ-10 вошли вредонос для удаленного доступа DarkWatchman и модульный ботнет Prometei

? Занявший пятое место в нашем хит-параде DarkWatchman представляет собой RAT (Remote access trojan, троян для удаленного доступа), отличающийся бесфайловой архитектурой, конфигурацией, размещенной в реестре, и загрузкой из памяти, что делает его обнаружение и удаление достаточно сложными;

? ВПО для удаленного администрирования Remcos заняло шестое место в нашем рейтинге.

Трояны Remcos RAT, Quasar RAT и Lumma активно распространяются через MaaS- и PhaaS-платформы. Remcos, к примеру, используется как в кибершпионаже, так и в финансово мотивированных атаках. Они поддерживают регистрацию пользовательского ввода, захват экрана, удаленное выполнение команд, извлечение паролей и многоуровневую антиотладку. Таким образом, RAT постепенно превращаются из специализированного инструмента удаленного доступа в универсальные многофункциональные платформы, сочетающие в себе элементы шпионского ПО, загрузчиков, шифровальщиков и инструментария для киберразведки. Их привлекательность усиливается еще и тем, что, в отличие от программ-вымогателей, они позволяют злоумышленникам оставаться в инфраструктуре жертвы как можно дольше, извлекая максимум выгоды — будь то кража данных, доступ к финансовым системам, загрузка и развертывание дополнительного ПО или дальнейшее распространение внутри сети.

? Седьмое место среди самых распространенных семеек вредоносного ПО занял загрузчик Emotet, старый знакомый всех исследователей вредоносов.

? На восьмом задержалась шпионская малварь Evilnum, нацеленная на финансовые компании и их клиентов.

? Впервые в десятку забрался перспективный новичок Prometei модульный ботнет, оснащенный широким спектром компонентов, которые он использует для заражения систем по всему миру, сбора учетных данных и майнинга криптовалюты. Последние версии Prometei используют алгоритм генерации доменов (DGA) для создания инфраструктуры управления и контроля. Он также имеет механизм самообновления и расширенный набор команд для сбора конфиденциальных данных и захвата узлов. 

Обновление топ-10 семейств ВПО
Обновление топ-10 семейств ВПО

Как видно из рисунка выше, некоторые семейства, популярные в 2023 году, покинули десятку — например, Lokibot и Donut. Причины такого снижения могут быть связаны как с эффективной нейтрализацией инфраструктуры отдельных вредоносов, так и с общим переходом атакующих на более продвинутые и менее заметные инструменты.

В результате анализа поведения ВПО, осевшего в нашей песочнице PT Sandbox, мы определили, что наибольшую популярность у атакующих набирают техники, связанные со сбором информации, шпионажем и маскировкой действий. При этом чаще всего злоумышленники использовали ВПО для захвата аудиопотока с микрофона, динамиков и других источников. Интересно, что в 2023 году техника Audio Capture не входила даже в топ-10 по популярности у злоумышленников. Вероятно, интерес хакеров продиктован тем, что некоторые аудиоданные можно использовать в атаках с использованием методов социальной инженерии, например, для создания голосовых дипфейков.

Отметим, что киберпреступники все реже используют «шумные» методы закрепления в системе, предпочитая более скрытные: например, удаление журналов, временных файлов и других следов активности, а также манипуляции токенами доступа для повышения привилегий или выполнения действий от лица легитимного пользователя.

Категории жертв (доля успешных атак на организации с использованием ВПО, 2024-H1 2025)
Категории жертв (доля успешных атак на организации с использованием ВПО, 2024-H1 2025)

Чаще других жертвами атак с использованием вредоносного ПО становились государственные учреждения, предприятия промышленного сектора и ИТ-компании. Интерес к первым связан с доступом к критически важным данным и системам, ко вторым — с возможностью нарушить технологические процессы, а к третьим — с перспективой компрометации цепочек поставок программного обеспечения и выхода на другие компании. Основным методом доставки вредоносов в атаках на организации по-прежнему остается электронная почта.

Прогноз

В ближайшие пару лет использование ВПО сохранит свое лидерство в методах атакующих, поскольку с помощью вредоносов можно автоматизировать большинство этапов атаки. Особенно актуальными останутся программы-вымогатели, шпионское ПО и трояны удаленного доступа — как наиболее результативные. При этом атаки будут более скрытными, персонализированными и технологичными, с акцентом на сбор конфиденциальной информации, манипуляцию сессиями и обход систем обнаружения.

Методы злоумышленников (доля успешных атак, 2019-H1 2025)
Методы злоумышленников (доля успешных атак, 2019-H1 2025)

И про защиту

Надежная защита от вредоносного ПО требует системного подхода, сочетающего как технические, так и организационные меры, включая работу с персоналом. Злоумышленники все чаще упаковывают, шифруют и делают ВПО похожим на легитимные приложения. Чтобы выявлять и блокировать его нулевые и модифицированные версии, необходимо использовать песочницы, применяющие алгоритмы машинного обучения для точного детектирования нелегитимного поведения. Так, PT Sandbox выявляет вредоносные действия файла, который на первый взгляд кажется безопасным, и защищает от угроз нулевого дня.

Узнать о том, как защищаться от вредоносного ПО в сетевом и почтовом трафике можно на NetCase Day от Positive Technologies 16 сентября. Увидимся там!

Федор Чунижеков

Руководитель исследовательской группы Positive Technologies

Комментарии (1)


  1. MountainGoat
    01.09.2025 12:18
    #28781570

    Да, ладно, все же знают, что не существует никакого вредоносного ПО, это всё разводилово, чтобы продавать лохам "антивирусы" которые ничего не делают, только тормозят для вида. У вас небось ещё и земля плоская.