Иллюзия разбоя: F6 проанализировала активность «Команды Legion» и ее связь с кибергруппой NyashTeam

Специалисты департамента киберразведки (Threat Intelligence) компании F6 в ходе ежедневного мониторинга угроз обнаружили...

Специалисты департамента киберразведки (Threat Intelligence) компании F6 в ходе ежедневного мониторинга угроз обнаружили подозрительный исполняемый файл, который выглядел как программа-вымогатель. Анализ показал, что это блокировщик, маскирующийся под шифровальщика: вместо шифрования файлов он блокировал доступ к операционной системе. В сообщении было указано, что файлы и диски «зашифрованы … командой Legion», упоминания о которой ранее не встречались. Об этом CNews сообщили представители F6.

Аналитики Threat Intelligence F6 исследовали новую угрозу, изучили связанные с ней улики, включая записки, которые злоумышленники оставляли на устройствах жертв. Анализ Telegram-аккаунтов, упоминаемых в записках, показал пересечения с киберпреступной группировкой NyashTeam (справку о ней можно найти в ежегодном аналитическом отчете F6).

Исследование показало, что программа-блокировщик применяется минимум с 2022 г. Файл с аналогичными индикаторами (закрепление в тех же ключах реестра и использование идентичных команд) был загружен на одну из публичных песочниц в июле 2022 г. Однако записки, которые отображались на устройствах, отличаются. Вместо Legion злоумышленники выдавали себя за CryptoBytes hacker group. Также был найден сэмпл от 2023 г. с другой запиской, где злоумышленники выдавали себя за UI-Load hacker group.

Программы-блокировщики, которые просто ограничивают доступ к системе, утратили популярность примерно с 2015 г., уступив место более прибыльным программам-вымогателям, которые шифруют файлы и позволяют злоумышленникам требовать выкуп за их расшифровку. Однако некоторые злоумышленники все еще используют блокировщики – вероятно, потому что такие программы легче создать, они дешевле и эффективнее для вымогательства мелких сумм у неопытных пользователей.

Аккаунт @nyashteam*** из записки, генерируемой образцом локера от 2025 г., предположительно может являться отсылкой к группе злоумышленников NyashTeam. Эта группа использовала созвучные имена.

В июле 2025 г. эксперты F6 опубликовали исследованиео вредоносной активности NyashTeam. Эта группировка активна как минимум с 2022 г. и известна продажей ВПО DCRat и WebRAT в формате Malware-as-a-Service (MaaS), а также предоставлением услуг по аренде хостинга для размещения админ-панелей данного ВПО. Аналитики компании F6 вскрыли инфраструктуру злоумышленников, в которую входили в том числе более 110 доменов в зоне .RU, и помогли ее заблокировать.

После выхода исследования аналитики F6 продолжили отслеживать активность группы. Во второй половине 2025 г. ВПО от NyashTeam в основном распространялось под видом кряков и читов для популярных компьютерных игр, например CS2 и Roblox.

Раскрытие активности киберпреступной группировки NyashTeam в публичном пространстве и блокировка ее инфраструктуры в доменной зоне .RU летом 2025 г. не привели к прекращению деятельности злоумышленников – они продолжают распространять ВПО и сохранили подход к выбору инфраструктуры. Возможная связь группы с распространителями программы-блокировщика, обнаруженной и исследованной специалистами F6 – один из многих фрагментов, из которых эксперты киберразведки день за днем складывают пазл ландшафта киберпреступных угроз. И эти угрозы становятся все более опасными: даже обнаруженный блокировщик, несмотря на относительно простую структуру, использует ряд защитных механизмов, чтобы избежать его обнаружения и анализа.

Адрес новости:
https://safe.cnews.ru/news/line/2026-02-03_illyuziya_razboya_f6_proanalizirovala