349 рублей — и вы хакер. Но теперь без доступа: F6 прикрыли лавочку

Аналитики компании F6 заблокировали инфраструктуру киберпреступной группировки NyashTeam, распространявшей вредоносное программное обеспечение и предоставлявшей хостинг злоумышленникам. Более 110 доменов в зоне .ru были отключены, ещё четыре в других зонах ожидают блокировки. Сеть, охватывавшая как минимум 50 стран, активно действовала на территории России.

NyashTeam действовала по модели MaaS (Malware-as-a-Service), предлагая вредоносный софт по подписке через Telegram-ботов и сайты. Клиенты получали готовые инструменты, включая DCRat — бэкдор для удалённого управления заражёнными устройствами — за 349 рублей в месяц, и WebRat — средство кражи учётных данных браузеров — за 1199 рублей. Хостинг обходился в 999 рублей на два месяца.

С 2022 года группировка использовала более 350 доменов. Пик активности пришёлся на конец 2024 и начало 2025 года. Злоумышленники распространяли вредоносное ПО через YouTube и GitHub, маскируя его под читы для игр и взломанное ПО. Для распространения использовались взломанные аккаунты и ссылки на файлообменники.

Среди атакованных с помощью DCRat компаний были российские организации в сферах логистики, нефтегазовой промышленности, геологии и IT. В рамках расследования специалисты CERT-F6 передали домены в Координационный центр доменов .RU/.РФ для блокировки. Также был удалён Telegram-канал с исходниками WebRat и четыре обучающих видео.

F6 подчёркивает, что выявление и блокировка MaaS-инфраструктуры снижает масштабы угроз. Блокировка доменов NyashTeam серьёзно затруднила работу злоумышленников и ограничила распространение вредоносного ПО.

Для защиты от аналогичных атак F6 рекомендует избегать загрузки ПО с непроверенных источников, регулярно обучать сотрудников методам распознавания фишинга, использовать данные киберразведки, решения для защиты электронной почты и платформы обнаружения угроз на основе телеметрии и машинного обучения.