«Цифровая система управления» для национального железнодорожного перевозчика
DCAP как необходимый компонент комплексной защиты: как бизнесу сохранить данные и не повестись на маркетинговые уловки
Как коммуникации в Telegram повысили лояльность клиентов на 60 %: кейс «Телфин» и платформы «Антитренинги»
Каким был рынок труда в 2024 году и ждут ли нас кардинальные изменения
Регулирование ПДн на практике в 2025 году: ответы на 10 главных вопросов
ЦБ
°
четверг, 7 августа 2025

«Курьер» вредоносов: от USB до шпионских программ

«Курьер» вредоносов: от USB до шпионских программ
Изображение: Газинформсервис
Raspberry Robin, сложный загрузчик вредоносного ПО, также известный как Roshtyak, продолжает свою кампанию против систем Windows с расширенными возможностями и методами обхода. Этот универсальный загрузчик, обладающий поразительной способностью к адаптации, стал кошмаром для систем безопасности компаний по всему миру.

Михаил Спицын, киберэксперт лаборатории стратегического развития компании «Газинформсервис», отметил, что эффективная защита от таких продвинутых угроз включает в себя как технические меры, так и строгие организационные процедуры.

Raspberry Robin, обнаруженный в конце 2022 года, не является конечной угрозой сам по себе, а скорее выступает в роли «курьера», доставляющего в корпоративные сети разнообразные вредоносные инструменты — от вымогателей до шпионского ПО — по заказу злоумышленников. Эта особенность делает его особенно опасным, поскольку его «полезная нагрузка» может меняться, адаптируясь к целям атакующих.

Михаил Спицын выделяет ключевые аспекты этой угрозы:

— во-первых, USB до сих пор остаётся удобным и почти неконтролируемым каналом передачи данных между офисами и подрядчиками; даже одно заражённое устройство даёт злоумышленнику точку входа.
— во-вторых, гибкая архитектура Raspberry Robin делает его не конечной вредоносной целью, а «курьером»: он привозит в сеть то, что закажет оператор, — от шифровальщиков до шпионских программ.
— в-третьих, постоянная эволюция шифрования и обфускации позволяет ему опережать классические антивирусы и подпись-ориентированные IDS. Защита строится на сочетании технических и организационных мер, и вот тут в игру вступает центр мониторинга GSOC, который усиливает эту оборону сразу на нескольких уровнях.

«GSOC круглосуточно собирает телеметрию со всех конечных точек и сетевых сегментов, сравнивает её с актуальной TI и тут же реагирует, если на рабочей станции запускается подозрительный процесс с USB. Инструменты реагирования на конечных точках, которыми пользуется SOC, выстраивают дерево процессов и позволяют мгновенно увидеть источник заражения, модули поведенческой аналитики отмечают нетипичную активность в сети, а аналитики корректируют правила, чтобы подобный вектор больше не сработал. Таким образом время обнаружения таких угроз и реагирования на них сокращается с часов до минут», — пояснил эксперт.

Свежее по теме