Эксперты раскрыли полный арсенал хакеров Beast: от сканирования до шифрования данных

Команда Beast, относящаяся к модели Ransomware-as-a-Service (RaaS, «вымогательство как услуга»), впервые заявила о себе на хакерском форуме RAMP летом 2024 года. Её активность периодически менялась, но, согласно данным RansomLook, после паузы в конце 2025 года группировка возобновила работу в январе 2026-го и с февраля по март опубликовала на своей сливной площадке BEAST LEAKS данные нескольких жертв. Важная деталь, характерная для многих групп, базирующихся в странах СНГ: программа-вымогатель настроена так, чтобы не шифровать данные на устройствах, расположенных в России, Беларуси и Молдове. Это типичная тактика снижения внимания правоохранительных органов конкретного региона.

Ключевым моментом стало обнаружение открытого каталога на IP-адресе 5.78.84[.]144 в марте 2026 года. Team Cymru, используя свою систему сбора данных Open Ports, которая дополняется анализом NetFlow-трафика (потоковых данных о сетевых соединениях), выявила на порту 8000 подозрительный список файлов. Именно эта целенаправленная методика, основанная на наблюдении за реальной коммуникацией хостов, а не на точечном сканировании всего интернета, позволила быстро идентифицировать активную инфраструктуру злоумышленников. Последующий анализ файлов, полученных с этого сервера, дал исчерпывающую картину тактик группировки.

Первая стадия любой сложной атаки - разведка. На сервере были обнаружены копии легальных утилит Advanced IP Scanner и Advanced Port Scanner. Эти инструменты используются для картографирования внутренней сети жертвы и поиска открытых портов, например, для протоколов удалённого рабочего стола (RDP) или общего доступа к файлам (SMB). Для быстрого поиска ценных данных злоумышленники применяли Everything.exe - высокоскоростную поисковую систему. А утилита FolderSize-x64 помогала определить, какие серверы содержат наибольшие объёмы информации, чтобы приоритезировать атаку для максимального ущерба.

Следующий критически важный этап - кража учётных данных для перемещения по сети и получения прав администратора домена. На сервере присутствовал «золотой стандарт» для таких задач: Mimikatz, LaZagne и Automim. Эти инструменты предназначены для извлечения паролей из памяти операционной системы (LSASS) и восстановления сохранённых учётных данных из браузеров, почтовых клиентов и баз данных. Дополнительный файл enable_dump_pass.reg вносил изменения в реестр Windows, заставляя систему хранить пароли в открытом виде в памяти через WDigest, что значительно облегчало их перехват. Также был найден скрипт Kerberos.ps1, вероятно, использовавшийся для атаки «Kerberoasting», позволяющей выкрасть и взломать офлайн тикеты сервисных учётных записей.

Для закрепления в системе и удалённого управления злоумышленники хранили копию AnyDesk. Эта легальная программа для удалённого администрирования (RMM) пользуется популярностью у множества группировок, включая печально известные Qilin и Akira. Её преимущество в том, что антивирусы и системы класса EDR (Endpoint Detection and Response, обнаружение и реагирование на конечных точках) часто по умолчанию не блокируют её как вредоносную, что позволяет долгое время оставаться незамеченной. Для перемещения по сети и удалённого выполнения команд использовался классический инструмент PsExec из пакета SysInternals, а также OpenSSH для Windows, с помощью которого можно создавать защищённые туннели.

Перед запуском шифрования современные вымогатели почти всегда похищают данные для шантажа. Для эксфильтрации информации операторы Beast использовали MEGASync - клиент для облачного сервиса Mega[.]nz, способный загружать сотни гигабайтов. Дополнительно в арсенале были файловые менеджеры WinSCP и Klink, работающие по протоколу SFTP и другим сетевым протоколам передачи файлов.

Наиболее показательными оказались файлы, относящиеся к финальной стадии атаки. Скрипт «disable_backup.bat» предназначен для удаления теневых копий тома (VSS) и отключения резервного копирования Windows, лишая жертву возможности быстро восстановить данные. Утилита «CleanExit.exe», вероятно, использовалась для очистки журналов событий и следов инструментов после шифрования, затрудняя расследование инцидента. И, наконец, главное оружие: «encrypter-windows-cli-x86.exe» и «encrypter-linux-x64.run» - исполняемые файлы программы-вымогателя Beast для операционных систем Windows и Linux соответственно. Наличие версии для Linux указывает на целенаправленную атаку на серверы, в том числе виртуальные машины под управлением VMware ESXi.

Таким образом, исследование сервера Beast предоставило исчерпывающую тактическую карту всей операции. Этот кейс подчёркивает важность проактивного мониторинга интернет-телеметрии для выявления угроз до их реализации. Для специалистов по защите информации выводы очевидны: необходимо ужесточать контроль за использованием легитимных административных инструментов (особенно PsExec, AnyDesk, MEGASync) в корпоративных сетях, своевременно отключать устаревшие и небезопасные методы аутентификации вроде WDigest, активно применять сегментацию сети для ограничения латерального перемещения и обеспечивать регулярное создание автономных («холодных») резервных копий критически важных данных, недоступных из основной сети. Только комплексный подход, учитывающий каждый этап цепочки взлома, может эффективно противостоять современным организованным киберугрозам.

IPv4

• 5.78.84.144

SHA256

• 2ce62601491549ab91c9517e0accf3286ed29976f6ec359d31ddc060a8d99eb3
• 479d0947816467d562bf6d24b295bf50512176a2d3d955b8f4d932aea2378227
• 5bd8f9cbd108abc53fb1c44b8d10239a2a0a9dd20c698fd2fb5dc1938ae7ba96
• 6718cb66521a678274e5672285bf208eac375827d622edcf1fe7eba7e7aa65e0
• 812df0efea089b956d08352ff0a7e8789d43862dc3764f4441d4e1c1d1fb7957
• cc0680de960f3e1b727b61a42e59f9c282bd8e41fe20146ed191c7f4bf9283a7
• cf5c45be416d1b18dd67ffa95c6434691f1f9ba9c30754fa6fc9978c1f975750