В последнее время в открытых источниках все чаще обсуждается изменение тактики злоумышленников. Вместо массового и шумного шифрования данных, которое сразу привлекает внимание служб безопасности, фиксируются случаи точечного и избирательного воздействия на информационные системы компаний. По данным ряда профильных исследований, включая отчеты подразделений по кибербезопасности, наблюдается активность ранее не идентифицированной группы, использующей подход, который может быть классифицирован как целевая ручная атака.
В мае 2026 года был зафиксирован инцидент, в ходе которого злоумышленники не оставляли в зараженной системе классических записок с требованиями выкупа. Вместо этого атака была сфокусирована на самых актуальных и часто используемых документах, что привело к остановке операционных процессов компании. Согласно информации, опубликованной в исследовательских отчетах, данная группа действует через легитимные инструменты удаленного управления (RMM), что позволяет им маскировать свою активность под работу штатных администраторов и обходить стандартные системы защиты. Первые публичные упоминания об активности этой группы датируются апрелем 2026 года и связаны с инцидентами в финансовом секторе ЮАР.
В этой статье мы рассмотрим особенности данной угрозы, объясним, почему традиционные методы защиты могут быть неэффективны, и предложим практические шаги по снижению рисков на основе данных из открытых источников и практического опыта мониторинга инцидентов.
Ключевые особенности тактики: анализ открытых данных
Анализ инцидентов, опубликованных в открытых источниках, позволяет выделить несколько характерных черт данной угрозы, которые отличают её от массовых шифровальщиков, таких как LockBit или Black Basta.
Фокус на операционных данных
В отличие от классических кампаний, шифрующих все файлы подряд, в данном случае злоумышленники фокусируются на файлах, которые были изменены недавно. Это может свидетельствовать о стремлении нанести максимальный ущерб текущей деятельности компании. Под удар попадают открытые документы, актуальные базы данных и проекты, работа над которыми ведется в настоящий момент. Регулярные резервные копии в таких случаях могут оказаться бесполезными, если они создавались реже, чем раз в час, так как данные за текущий рабочий день могут быть потеряны безвозвратно.
Отказ от классической записки
Одной из наиболее нестандартных особенностей является отсутствие файла с требованиями о выкупе на зараженном устройстве. Это усложняет оперативное обнаружение инцидента и идентификацию группы. Связь с пострадавшей стороной, согласно отчетам, осуществляется через внешние каналы, что требует от команды безопасности более внимательного подхода к мониторингу нештатных ситуаций.
Использование легитимного ПО
Для развертывания шифровальщика и сохранения доступа операторы используют легитимные инструменты удаленного мониторинга и управления (RMM), например, RemotePC. Этот метод, известный как "Living Off the Land" (использование легитимных инструментов), делает атаку труднообнаружимой для систем EDR и SIEM, так как запуск разрешенного софта не вызывает автоматических тревог. Злоумышленники действуют вручную, что указывает на высокий уровень подготовки и целевой характер атак.
Технические детали и векторы атак
Согласно техническим отчетам, шифровальщик написан на языке Go, что затрудняет его реверс-инжиниринг и анализ. Используется криптостойкий алгоритм ChaCha20-Poly1305, который на сегодняшний день невозможно взломать подбором ключа. В качестве основного вектора входа в инфраструктуру, по данным открытых источников, выступают скомпрометированные учетные данные RDP. Несмотря на известность этой уязвимости, многие компании продолжают оставлять RDP-порты открытыми в интернет. Статистика инцидентов за прошлый год показывает, что RDP участвует в значительной доле атак либо как первичный вектор, либо как инструмент для горизонтального перемещения внутри сети.
Последствия для бизнеса: типовые риски
Игнорирование подобных угроз может привести к серьезным финансовым и репутационным потерям. Статистика 2025 года, опубликованная в открытых отчетах, говорит о сотнях атак вымогателей на российские компании. Суммы требований варьируются от нескольких миллионов до сотен миллионов рублей. В отдельных случаях злоумышленники преследуют не финансовую выгоду, а цели диверсии, что делает их действия еще более опасными.
Помимо прямых убытков от простоя и потери данных, компания сталкивается с рисками регуляторных штрафов, особенно если затронуты персональные данные (регулируемые, например, 152-ФЗ, где штрафы могут достигать 18 млн рублей). Восстановление репутации и доверия клиентов после подобного инцидента также требует значительных ресурсов.
Рекомендации по защите: практические шаги
Для снижения рисков и защиты от подобных целевых атак мы рекомендуем комплексный подход, основанный на данных открытых источников и практическом опыте:
- Контроль удаленного доступа (RDP): настоятельно рекомендуем закрыть публичный доступ к RDP из интернета. Используйте VPN-шлюзы или защищенные терминальные серверы с многофакторной аутентификацией (MFA) и строгим контролем доступа по IP-адресам.
- Внедрение многофакторной аутентификации (MFA): это является обязательной мерой для всех учетных записей, особенно для администраторов. Поскольку данные показывают высокий уровень компрометации паролей, MFA является критическим барьером для несанкционированного доступа.
- Мониторинг аномалий и привилегий: настройте оповещения о подозрительных входах (в нерабочее время, с необычных IP-адресов), создании новых административных учетных записей и нестандартном использовании RMM-инструментов. Следуйте принципу наименьших привилегий, регулярно проводите аудит учетных записей.
- Использование EDR с поведенческим анализом: традиционные антивирусы неэффективны против новых угроз. Внедрение решений класса EDR с эвристикой и поведенческим анализом позволяет обнаруживать аномальную активность, такую как массовое рекурсивное шифрование или запуск исполняемых файлов из нестандартных директорий.
- Надежная стратегия резервного копирования: реализуйте политику "3-2-1" (3 копии, 2 разных носителя, 1 оффсайт). Используйте immutable-хранилища, предотвращающие изменение или удаление бэкапов. Тестируйте восстановление из бэкапов на регулярной основе.
- Обучение персонала: регулярно проводите тренинги для сотрудников по основам кибергигиены и распознаванию фишинговых атак, которые являются частым вектором начальной компрометации.
Вывод и рекомендации
Практика показывает, что киберугрозы эволюционируют, становясь более скрытыми и разрушительными. Ситуация с активностью новых групп, использующих сложные многоступенчатые атаки, является индикатором общерыночного тренда. Защита строится не на отдельных дорогостоящих решениях, а на дисциплине исполнения базовых правил информационной безопасности и постоянном мониторинге.
Мы рекомендуем провести аудит текущей архитектуры безопасности, чтобы оценить уровень защищенности от подобных инцидентов. Если вам важно понять, насколько ваша инфраструктура готова к современным угрозам, вы можете заказать экспресс-аудит или расширенную проверку безопасности.
Для получения дополнительной информации или консультации вы можете оставить заявку на нашем сайте. Мы также публикуем регулярные обновления и аналитические материалы в нашем блоге, чтобы помочь вам оставаться в курсе актуальных угроз.
⚖️ Данный материал носит информационно-аналитический характер. Все выводы основаны на открытых источниках и не являются утверждением фактов, не подтверждённых официально. Материал не является юридической или технической рекомендацией. Любые решения принимаются читателем самостоятельно.
══════
Оставьте заявку на бесплатную консультацию: [Перейти на сайт]