СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
05.12.2025
#ИБ

KGB RAT: шифровальщик и HVNC угрожают обходом мер безопасности

Злоумышленники предлагают на подпольных форумах новый продукт — KGB RAT. По описанию он объединяет функциональность удалённого доступа (RAT), встроенный шифровальщик и модуль HVNC (Hidden VNC). Авторы объявляют инструмент «полностью не обнаруживаемым» — маркировка, которая должна вызывать повышенное внимание специалистов по безопасности.

Ключевые факты

  • Состав: RAT + шифровальщик + HVNC (Hidden VNC).
  • Канал распространения: подпольные форумы и маркетплейсы киберпреступного рынка.
  • Заявления продавцов: утверждения о «FUD» (fully undetectable), то есть полной необнаруживаемости существующими решениями безопасности.
  • Уровень угрозы: сложная архитектура продукта ассоциируется с продвинутыми банковскими троянами и целевым вредоносным ПО.

Почему это вызывает тревогу

Комбинация функциональностей в одном пакете значительно повышает потенциал ущерба. HVNC позволяет злоумышленнику работать в контексте сессии пользователя удалённо и незаметно для пользователя, а встроенный шифровальщик добавляет возможность двойного вымогательства (данные шифруются и одновременно могут быть похищены для последующего шантажа).

Аналитики отмечают: появление коммерчески доступных, «готовых к использованию» RAT-систем с HVNC и шифровальщиками ускоряет эволюцию киберпреступного рынка и повышает риски для организаций любых размеров.

Признаки и «красные флажки», на которые стоит обращать внимание

  • Упоминание термина FUD или фразы «fully undetectable» в объявлениях и описаниях;
  • Реклама наличия встроенного шифровальщика в комплекте с RAT;
  • Наличие модуля HVNC (Hidden VNC) — индикатор возможности скрытой удалённой работы в пользовательских сессиях;
  • Продавцы обещают «комплексное решение» для обхода защит — потенциальный маркер коммерциализированного вредоносного ПО;
  • Появление новых бинарников с высоким уровнем энтропии (возможные зашифрованные компоненты) и подозрительных техник «living off the land».

Рекомендации для команд безопасности

  • Включите мониторинг упоминаний FUD, «encryptor», HVNC и KGB RAT в лентах разведки угроз и при анализе инцидентов.
  • Усилите наблюдение за поведением конечных точек: аномальные родительские процессы, инъекции в процессы, неожиданные сессии взаимодействия с GUI, попытки создания скрытых VNC-сессий.
  • Обратите внимание на сетевые паттерны: нестандартные исходящие соединения, частое beaconing, использование нестандартных портов для удалённого доступа.
  • Настройте правила EDR/IDS на выявление техник persistence, process hollowing, DLL injection и создания новых служб/таймеров.
  • Используйте динамический анализ (sandbox) для изучения подозрительных образцов и формируйте YARA-правила по полученным сигнатурам.
  • Регулярно резервируйте данные и тестируйте процедуры восстановления; рассматривайте сегментацию сети и ограничение прав пользователей.
  • Обеспечьте многофакторную аутентификацию и контроль привилегий, чтобы снизить риск использования похищенных учётных данных.
  • Обменивайтесь индикаторами и поведенческими шаблонами с сообществом и поставщиками threat intelligence.

Тактические шаги при подозрении на компрометацию

  • Изолируйте подозрительные хосты и сохраните образ памяти для форензики.
  • Соберите логи процессов, сетевых соединений и событий безопасности для ретроспективного анализа.
  • Поискать признаки присутствия шифровальщика: создание файлов с высоким содержимым энтропии, массовые операции записи и изменение расширений файлов.
  • Проверить аномалии, связанные с удалённым управлением: невидимые сессии, нестандартные VNC-процессы, неожиданные графические драйверы или хуки.

Вывод

Появление KGB RAT — ещё один пример того, как рынок вредоносного ПО становится более коммерциализированным и доступным. Заявления о FUD и встроенные модули шифровальщика с HVNC — явные сигналы для иcследователей и команд реагирования: такие продукты требуют повышенной бдительности и адаптации защитных мер. Мониторинг подпольных форумов, оперативная обработка разведданных и совершенствование детекции поведения остаются ключевыми элементами защиты от подобных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: