СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
F6
3 февраля
#Отчеты #ИБ

Иллюзия разбоя: F6 проанализировала активность «Команды Legion»и её связь с кибергруппой NyashTeam

Иллюзия разбоя: F6 проанализировала активность Команды Legionи её связь с кибергруппой NyashTeam

Специалисты департамента киберразведки (Threat Intelligence) компании F6 в ходе ежедневного мониторинга угроз обнаружили подозрительный исполняемый файл, который выглядел как программа-вымогатель. Однако анализ показал, что это блокировщик, маскирующийся под шифровальщика: вместо шифрования файлов он блокировал доступ к операционной системе. В сообщении было указано, что файлы и диски «зашифрованы … командой Legion», упоминания о которой ранее не встречались.

Аналитики Threat Intelligence F6 исследовали новую угрозу, изучили связанные с ней улики, включая записки, которые злоумышленники оставляли на устройствах жертв. Анализ Telegram-аккаунтов, упоминаемых в записках, показал пересечения с киберпреступной группировкой NyashTeam (справку о ней можно найти в ежегодном аналитическом отчёте F6).

Исследование показало, что программа-блокировщик применяется минимум с 2022 года. Файл с аналогичными индикаторами (закрепление в тех же ключах реестра и использование идентичных команд) был загружен на одну из публичных песочниц в июле 2022 года. Однако записки, которые отображались на устройствах, отличаются. Вместо Legion злоумышленники выдавали себя за CryptoBytes hacker group. Также был найден сэмпл от 2023 года с другой запиской, где злоумышленники выдавали себя за UI-Load hacker group.

Программы-блокировщики, которые просто ограничивают доступ к системе, утратили популярность примерно с 2015 года, уступив место более прибыльным программам-вымогателям, которые шифруют файлы и позволяют злоумышленникам требовать выкуп за их расшифровку. Однако некоторые злоумышленники всё ещё используют блокировщики – вероятно, потому что такие программы легче создать, они дешевле и эффективнее для вымогательства мелких сумм у неопытных пользователей.

Аккаунт @nyashteam*** из записки, генерируемой образцом локера от 2025 года, предположительно может являться отсылкой к группе злоумышленников NyashTeam. Эта группа использовала созвучные имена.

В июле 2025 года эксперты F6 опубликовали исследование о вредоносной активности NyashTeam. Эта группировка активна как минимум с 2022 года и известна продажей ВПО DCRat и WebRAT в формате Malware-as-a-Service (MaaS), а также предоставлением услуг по аренде хостинга для размещения админ-панелей данного ВПО. Аналитики компании F6 вскрыли инфраструктуру злоумышленников, в которую входили в том числе более 110 доменов в зоне .RU, и помогли её заблокировать.

После выхода исследования аналитики F6 продолжили отслеживать активность группы. Во второй половине 2025 года ВПО от NyashTeam в основном распространялось под видом кряков и читов для популярных компьютерных игр, например CS2 и Roblox.

Раскрытие активности киберпреступной группировки NyashTeam в публичном пространстве и блокировка её инфраструктуры в доменной зоне .RU летом 2025 года не привели к прекращению деятельности злоумышленников – они продолжают распространять ВПО и сохраняют подход к выбору инфраструктуры. Возможная связь группы с распространителями программы-блокировщика, обнаруженной и исследованной специалистами F6 – один из многих фрагментов, из которых эксперты киберразведки день за днём складывают пазл ландшафта киберпреступных угроз. И эти угрозы становятся всё более опасными: даже обнаруженный блокировщик, несмотря на относительно простую структуру, использует ряд защитных механизмов, чтобы избежать его обнаружения и анализа.

F6
Автор: F6
Российский разработчик технологий для борьбы с киберпреступлениями, поставщик решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети.
Комментарии: