Новые программы-вымогатели и трояны: обзор киберугроз третьей недели апреля 2026 года

Одной из ключевых находок стал троян-похититель данных WallStealer. Эта программа написана на языке Go и активна по меньшей мере с ноября 2025 года. Распространяется WallStealer через заражённые установочные файлы легитимного ПО или с помощью других дропперов - специальных утилит, доставляющих вредоносное содержимое. После проникновения в систему троян собирает учётные данные из веб-браузеров и криптовалютных кошельков. Собранную информацию он передаёт на сервер управления (C2) через протокол HTTP. Адрес управляющего сервера злоумышленники получают из жёстко заданного профиля пользователя Steam. Фактически WallStealar является типичным инфостилером, но его использование экзотического канала для получения конфигурации усложняет обнаружение традиционными методами.

Другой серьёзной угрозой стал бэкдор ShadowLink. Он представляет собой пользовательский beacon-агент (сигнальный модуль, поддерживающий связь с C2) для ботнета, состоящего из маршрутизаторов TP-Link и ASUS. Вредоносная программа часто работает в паре с инструментом MicroSocks, образуя так называемую резидентную прокси-сеть. Особую тревогу вызывает тот факт, что ShadowLink использовался при атаке на цепочку поставок в марте 2026 года - в том числе через компрометацию GitHub Actions "xygeni/xygeni-action". Впоследствии он же был обнаружен в проекте Trivy-action от компании Aqua Security, что привело к заражению нескольких других репозиториев, включая litellm. Эти атаки связывают с группой TeamPCP. На устройства TP-Link ShadowLink попадает через эксплуатацию уязвимости CVE-2024-21833, которая позволяет неавторизованную удалённую инъекцию команд при наличии доступа к определённой сети. Затем на маршрутизаторе выполняется скрипт, подключающий устройство к ботнету.

Вместе с новыми угрозами исследователи обновили каталог активных уязвимостей. Среди наиболее опасных - уязвимость в Fortinet FortiClient EMS (CVE-2026-21643) с критическим рейтингом CVSS 9.1. Она позволяет неавторизованному удалённому злоумышленнику выполнить код на сервере через SQL-инъекцию в HTTP-запросе. Производитель уже выпустил исправление версии 7.4.5, но все более ранние сборки находятся под угрозой. Полный перечень уязвимостей доступен в сообщении на форуме Red Piranha, где также приведены версии продуктов, для которых выпущены патчи. Другие опасные бреши включают уязвимость в Apache ActiveMQ (CVE-2026-34197, CVSS 8.8), допускающую аутентифицированное удалённое выполнение кода, а также проблемы в Microsoft Office Excel, SharePoint Server, Adobe Acrobat и нескольких версиях Windows. Особенность этих уязвимостей в том, что некоторые из них известны уже много лет, как, например, CVE-2009-0238 в Excel, но до сих пор не закрыты в устаревших продуктах из-за окончания поддержки.

Отдельного внимания заслуживает отчёт о деятельности групп, использующих программы-вымогатели. Мониторинг тёмной сети показал, что прошедшая неделя отмечена высокой активностью множества операторов. Если раньше доминировала одна-две группы, то сейчас распределение стало более равномерным. Лидерами по числу атак стали DragonForce (12,3% инцидентов) и Coinbase Cartel (11,23%). За ними следуют ShinyHunters (8,56%), The Gentlemen (8,02%), а также Krybit и Lamashtu (по 7,49%). Qilin остаётся значимым игроком с 5,88% атак, а INC Ransom, SafePay, ShadowBit3$ и LeakedData дополняют средний эшелон. На периферии действуют десятки мелких групп, каждая из которых совершила по одному нападению - это говорит о сохраняющейся фрагментации экосистемы вымогателей.

Любопытным новичком стала группа Exitium, появившаяся на публичных трекерах в середине марта. За прошедшую неделю она заявила об одной жертве в сфере здравоохранения США - Gastroenterology & Hepatology of CNY. Exitium публикует огромные массивы данных пациентов (в данном случае 167 303 записи, включая около 124 000 номеров социального страхования). В отличие от классических операторов, Exitium делает ставку на кражу данных, а не на шифрование. Из пяти известных жертв лишь одна, по имеющимся данным, была зашифрована. Группа использует двойное вымогательство: сначала выкрадывает информацию, затем угрожает её публикацией. Записка с требованием выкупа называется "YOU ARE UNDER ATTACK.html" и предписывает вступить в контакт через мессенджер Tox в течение семи дней. Важно отметить: ни один крупный вендор безопасности пока не опубликовал независимый анализ образца Exitium, поэтому многие технические детали остаются неизвестными. Аналитики рекомендуют при обнаружении такой угрозы в первую очередь проверять каналы утечки данных, а не полагаться только на эвристики на конечных точках.

География атак по-прежнему смещена в сторону США - 45,45% всех зафиксированных жертв. Далее идут Германия (5,88%), Франция (4,28%), Великобритания (3,74%), Италия и Канада (по 3,21%). Активность в Азиатско-Тихоокеанском регионе и Латинской Америке также растёт, но остаётся пропорционально ниже. Отраслевая статистика показывает, что наиболее атакуемой сферой остаётся обрабатывающая промышленность (20,32% всех инцидентов), затем бизнес-услуги (15,51%) и такие сектора, как розничная торговля, гостиничный бизнес и строительство (по 6,95%). Здравоохранение, образование и юридические фирмы тоже входят в зону риска.

Таким образом, ландшафт угроз продолжает усложняться. Новые инфостилеры маскируются под легитимные каналы распространения, бэкдоры для роутеров расширяют ботнеты, а группы вымогателей дробятся и меняют тактику. Организациям стоит внимательнее отнестись к обновлению систем, особенно к закрытию известных уязвимостей в пограничных устройствах и серверном ПО, а также усилить мониторинг исходящего трафика для выявления каналов утечки данных.

URLs

• http://m3ksukzn2glzfdvlusohril7n3iyk4z4fudf6mm22lwhpbpt5aiee5qd.onion/
• https://github.com/TokTok/qTox/releases/download/v1.18.3/setup-qtox-x86_64-release.exe
• https://t.me/exitiumCORP

Emails

• blushaimee@proton.me

Tox negotiation ID

• 0932023CDBDC780B80B4772D22975C9AAD6D1A5921AA4C746C9E4851A307DE1888A6F56FDFBE