22 июля 2025 г.
Специалисты компании F6, разработчика технологий для борьбы с киберпреступностью, раскрыли сеть доменов группировки NyashTeam, которая распространяет вредоносное ПО и предоставляет злоумышленникам хостинг-услуги. Клиенты группировки атаковали пользователей как минимум в 50 странах мира, в том числе в России. Сейчас более 110 доменов в зоне .ru, которые использовала группировка, уже заблокированы.
Эта группировка активна как минимум с 2022 года. Она распространяет по подписке через Telegram-боты и веб-сайты вредоносное программное обеспечение (ВПО), а также предоставляет хостинг-услуги для киберпреступной инфраструктуры. Большинство целей, которые злоумышленники атаковали с помощью инструментов NyashTeam, находятся в России.
Группировка распространяла вредоносный софт по модели MaaS (Malware-as-a-Service, вредоносное программное обеспечение как услуга). Такая модель позволяет даже начинающим злоумышленникам выполнять сложные атаки без специальной подготовки. Киберпреступные платформы, созданные по модели MaaS, распространяют готовые вредоносные программы, в которых инфраструктура уже настроена, панель управления интуитивно понятна, а инструкции чуть сложнее школьного букваря. Клиентам киберпреступных сервисов остаётся только заплатить за право пользования вредоносным софтом и сразу приступить к его использованию. Чем доступнее ВПО, тем больше кибератак — вот почему для эффективного противодействия киберпреступности такие платформы важно оперативно выявлять и блокировать.
Группировка NyashTeam ориентируется прежде всего на русскоязычную аудиторию, но её инструментами пользуются и другие злоумышленники из разных стран мира.
Причина такой «популярности» — относительно низкая стоимость ВПО. Стоимость подписки на бэкдор DCRat (предназначен для удалённого управления заражёнными устройствами) — 349 рублей в месяц. Стоимость месячной подписки на ВПО WebRat (специализируется на краже учётных данных браузеров, включая пароли, cookies и данные автозаполнения) — 1199 рублей, а веб-хостинга — 999 рублей на 2 месяца.
Геймеры под прицелом
В большинстве случаев клиенты группировки распространяют ВПО через платформы YouTube и GitHub. Этим атакам подвергаются как геймеры, которые ищут читы, так и пользователи, желающие бесплатно получить необходимые программы. В YouTube злоумышленники используют фальшивые или взломанные аккаунты для загрузки видео, рекламирующих читы для игр, кряки лицензионного ПО или игровые боты. Ссылки под такими видео ведут на файлообменники, где под видом читов и кряков предлагается скачать архив с вредоносным ПО. На GitHub вредоносный софт от NyashTeam маскируют под взломанные версии лицензионного ПО, утилиты или читы, размещённые в публичных репозиториях.
Специалисты F6 обнаружили, что с момента начала активности группировки NyashTeam в 2022 году в её инфраструктуре были задействованы более 350 доменов второго уровня. Наибольшая активность регистрации вредоносных доменов пришлась на декабрь 2024 года и январь-февраль
CERT-F6 направил на блокировку вредоносные домены, связанные с группировкой NyashTeam, в Координационный центр доменов .RU/.РФ. По данным на 21 июля 2025 года уже заблокированы более 110 доменов в зоне .ru. Также заблокирован Telegram-канал с исходным кодом WebRat и 4 обучающих видео на популярном видеохостинге.
«Кейс NyashTeam наглядно доказывает: инфраструктуру MaaS-операторов, распространяющих вредоносное ПО, можно обнаружить и эффективно заблокировать. Анализ и последующая блокировка доменов, используемых группировкой NyashTeam, позволили как минимум на время существенно ограничить возможности распространения угроз и затруднить работу злоумышленников», — отмечает Владислав Куган, аналитик отдела исследования кибератак Threat Intelligence компании F6.
Источник: Пресс-служба компании F6
