Читы, локеры и 110 заблокированных доменов. Группировка NyashTeam прячется за вывеской «Легиона» и продолжает охоту на геймеров

Специалисты компании F6 обнаружили подозрительный исполняемый файл, который на первый взгляд выглядел как программа-вымогатель. Однако анализ показал, что это не шифровальщик, а блокировщик, маскирующийся под него: вместо шифрования файлов он перекрывал доступ к операционной системе. В записке на устройстве утверждалось, что файлы и диски «зашифрованы … командой Legion», причем упоминаний о такой «команде» раньше не встречалось.

Дальше аналитики изучили связанную с угрозой «уликовую базу», включая тексты записок, которые оставляли злоумышленники, и Telegram-аккаунты, указанные для связи. Анализ этих аккаунтов показал пересечения с киберпреступной группировкой NyashTeam. Исследование также показало, что подобный блокировщик применяется как минимум с 2022 года: файл с аналогичными индикаторами, в том числе закреплением в тех же ключах реестра и использованием идентичных команд, был загружен в одну из публичных песочниц в июле 2022 года. При этом менялись тексты записок и «вывески» злоумышленников. В образце 2022 года вместо Legion они представлялись как CryptoBytes hacker group, а в найденном сэмпле 2023 года фигурировало другое имя - UI-Load hacker group.

В F6 напоминают, что программы-блокировщики, которые просто ограничивают доступ к системе, утратили популярность примерно с 2015 года, уступив место более прибыльным программам-вымогателям, которые шифруют файлы и позволяют требовать выкуп за расшифровку. Тем не менее некоторые злоумышленники по-прежнему используют локеры - вероятно, потому что такие программы проще написать, они дешевле в эксплуатации и часто оказываются эффективными для вымогательства небольших сумм у неопытных пользователей.

Отдельно в исследовании отмечается, что аккаунт @nyashteam*** из записки, генерируемой образцом локера от 2025 года, предположительно может быть отсылкой к группе NyashTeam: эта группировка использовала созвучные имена. В июле 2025 года эксперты F6 публиковали исследование о вредоносной активности NyashTeam: по данным компании, группа активна как минимум с 2022 года и известна продажей ВПО DCRat и WebRAT в формате Malware-as-a-Service (MaaS), а также предоставлением услуг по аренде хостинга для размещения админ-панелей этого ВПО. В ходе анализа инфраструктуры NyashTeam специалисты выявляли, что в нее входили в том числе более 110 доменов в зоне .RU, после чего инфраструктуру удалось заблокировать. Однако, как подчеркивает F6, публичное раскрытие активности NyashTeam и блокировка ее инфраструктуры летом 2025 года не привели к прекращению деятельности: злоумышленники продолжают распространять вредоносное ПО и сохранили подход к выбору инфраструктуры.

После публикации исследования аналитики F6 продолжили мониторинг группы и отмечают, что во второй половине 2025 года ее вредоносные программы в основном распространялись под видом кряков и читов для популярных компьютерных игр, например CS2 и Roblox. Возможная связь NyashTeam с распространителями обнаруженного локера в F6 называют одним из фрагментов общей картины, которую киберразведка собирает ежедневно. И хотя сам блокировщик по структуре относительно прост, он использует ряд защитных механизмов, чтобы усложнить обнаружение и анализ.