Stairwell: скрытые версии вредоносного ПО подрывают эффективность традиционной защиты

Специалисты по ИТ-безопасности привыкли ориентироваться на отчёты об угрозах, как на навигационную карту — чтобы своевременно реагировать на инциденты и обновлять защиту. Однако, согласно свежему исследованию компании Stairwell, реальная картина намного сложнее. За пределами опубликованных хэшей вредоносных файлов остаётся масса модифицированных версий — незаметных для стандартных систем мониторинга и анализа.

В отчёте «Скрытые вредоносные программы» за 2025 год команда проанализировала 769 отчётов об угрозах, опубликованных в период с марта 2023 года по июль 2025 года. В этих документах содержались сведения более чем о 10 тыс. вредоносных файлов. Однако при более глубоком анализе оказалось, что за этими файлами скрываются ещё 16 тыс. ранее не упомянутых вариантов, технически отличающихся, но относящихся к тем же семействам вредоносного кода.

Как объясняется в отчёте, большинство злоумышленников не тратят время на создание принципиально новых программ. Они адаптируют уже существующие образцы: меняют упаковку, структуру кода, отдельные метки. Эти изменения приводят к смене хэша — уникального цифрового отпечатка файла, который используют многие средства безопасности для идентификации. В результате вредоносный файл может пройти незамеченным, даже если его основа известна.

По словам технического директора компании Stairwell Майка Виачека, опора исключительно на статические хэши — это способ «бороться со вчерашними угрозами». Он подчеркнул, что злоумышленники выигрывают за счёт автоматического клонирования, тогда как ИБ-отделы продолжают отлавливать лишь оригинальные версии, игнорируя десятки «теневых» мутаций.

Из анализа отчётов следует, что каждый из них в среднем содержал около 13 хэшей. Однако дополнительный анализ позволил выявить до 21 незадокументированного варианта вредоносного ПО, связанного с теми же атаками. При этом с 2023 по 2025 год объём публикуемых хэшей в отчётах вырос — с 11 до 18. Тем не менее, количество непомеченных и «обходных» версий растёт ещё быстрее, что подтверждает масштаб пробела в аналитике.

Отдельное внимание исследователи уделили старым семействам вредоносного ПО. Выяснилось, что именно они имеют наибольшее количество вариантов. Это объясняется тем, что хорошо зарекомендовавшиеся инструменты атак получают продолжение в виде слегка изменённых версий, которые эффективно обходят фильтры и проникают в системы, несмотря на то, что их оригиналы давно известны.