Анализ угрозы Skitnet: новая волна программ-вымогателей 2025 года

В 2025 году на фоне активных действий правоохранительных органов и сбоев в работе крупных ботнетов в киберпространстве выросла популярность вредоносного ПО Skitnet, также известного как Bossnet. Этот универсальный инструмент для программ-вымогателей завоевал широкое распространение среди хакерских группировок благодаря своей доступности и продвинутым возможностям, выходящим за рамки типичных вредоносных программ.

Происхождение и распространение Skitnet

Skitnet впервые появился на подпольных форумах, таких как RAMP, в апреле 2024 года. Его автором называют хакера с псевдонимом LARVA-306. Вредоносное ПО было спроектировано с прицелом на простоту использования преступниками разного уровня квалификации, что обеспечивается наличием серверной панели управления.

• Основные особенности Skitnet — автоматизированное развертывание и механизмы удаления логов, препятствующие криминалистической экспертизе.
• Рост популярности связан с нарушением работы традиционных ботнетов и усилением спроса на эффективные инструменты программ-вымогателей.
• Крупные группы, в том числе Black Basta и Cactus, широко используют Skitnet в фишинговых кампаниях, направленных на корпоративных пользователей, включая команды Microsoft.

Технические особенности и методы заражения

Процесс заражения Skitnet включает многоступенчатую схему, начиная с первоначального доступа, часто достигнутого с помощью фишинга или использования скомпрометированных учетных данных.

Технические детали работы вредоносного ПО:

• Загрузчик написан на Rust и отвечает за расшифровку и запуск основного двоичного файла, написанного на Nim, непосредственно в оперативной памяти — что усложняет обнаружение традиционными AV-системами.
• Создается скрытая обратная оболочка на базе DNS, в которой команды и ответы инкапсулируются в DNS-запросах, что маскирует трафик под легитимный.
• Модульная архитектура предусматривает динамическое разрешение API, выполнение в памяти и использование редких языков программирования для повышения скрытности.

Функциональность и возможности эксплуатации

После внедрения Skitnet предлагает широкий спектр возможностей в постэксплуатационный период:

• Снятие скриншотов экрана и установка скрытых средств удаленного доступа.
• Извлечение конфиденциальных данных для последующего двойного вымогательства.
• Использование техник долговременного присутствия: перехват DLL-библиотек, запланированные PowerShell-сценарии.
• Возможность восстановления доступа даже после устранения уязвимостей, что значительно усложняет работу операторам безопасности.

Угроза и рекомендации по защите

Демократизация Skitnet через подпольные форумы расширяет круг возможных злоумышленников, делая атаки с использованием этого инструмента более частыми и изощрёнными.

Эксперты по кибербезопасности советуют организациям применять комплексную защиту:

• Мониторинг DNS-трафика для выявления аномалий, характерных для C2-оболочек.
• Использование решений EDR (Endpoint Detection and Response) для раннего обнаружения и реагирования на вредоносную активность.
• Ограничение полномочий для выполнения PowerShell-сценариев и мониторинг их использования.
• Регулярное обновление программного обеспечения и патчей.
• Повышение осведомленности сотрудников для противодействия фишинговым атакам.
• Внедрение модели безопасности с нулевым уровнем доверия (Zero Trust).

Учитывая, что Skitnet остается в ходу у нескольких групп программ-вымогателей, организациям необходимо не только понимать технические детали функционирования этого ПО, но и внедрять проактивные меры для эффективной защиты цифровых активов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.