Развитие информационных угроз в третьем квартале 2023 года

• Развитие информационных угроз в третьем квартале 2023 года
• Развитие информационных угроз в третьем квартале 2023 года. Статистика по ПК
• Развитие информационных угроз в третьем квартале 2023 года. Мобильная статистика

Целевые атаки

Неизвестный злоумышленник атакует производителя электроэнергии с использованием DroxiDat и Cobalt Strike

Ранее в этом году мы сообщали о новом варианте SystemBC под названием DroxiDat, которым был атакован объект критической инфраструктуры в ЮАР. Этот бэкдор с поддержкой прокси попадал в систему вместе с маяками Cobalt Strike.

Инцидент произошел во второй половине марта, тогда наблюдалась серия атак на системы в разных уголках мира с развертыванием маяков DroxiDat и Cobalt Strike. Мы полагаем, что это могла быть начальная стадия атаки, конечная цель которой — внедрение шифровальщика.

DroxiDat – это облегченный вариант SystemBC, выполняющий функции системного профайлера и простого бота с поддержкой SOCKS5. Его присутствие было зафиксировано в сети одного из электроэнергетических предприятий. В командной инфраструктуре инцидента фигурировал домен powersupportplan[.]com, который маскируется под портал энергетической службы и перенаправляет на известный нам подозрительный IP-хост. Этот хост использовался несколько лет назад в рамках одной APT-активности, что могло указывать на попытку целевой атаки, однако нам не удалось установить связь с предыдущим инцидентом (возможно, что ее и нет).

Шифровальщик так и не был доставлен в организацию, и мы не располагаем достаточной информацией для точной атрибуции этой активности. Тем не менее, примерно в тот же период случился другой инцидент в сфере здравоохранения с участием DroxiDat, завершившийся доставкой шифровальщика Nokoyawa. Также зафиксировано несколько инцидентов с применением Cobalt Strike, в которых совпадали идентификатор лицензии, каталоги и (или) командный сервер.

Анализ образцов, эксплуатирующих уязвимость CVE-2023-23397

14 марта компания Microsoft сообщила о наличии в клиенте Outlook критической уязвимости с повышением привилегий (CVE-2023-23397). Чтобы ею воспользоваться, злоумышленник отправляет жертве объект Outlook (задачу, сообщение или событие календаря) в составе расширенного свойства MAPI, содержащего UNC-путь к ресурсу SMB на сервере атакующего, что позволяет ему заполучить хэш Net-NTLMv2. Уязвимость затрагивает все поддерживаемые версии Outlook. Для ее эксплуатации не нужны какие-либо действия пользователя.

Компания Microsoft опубликовала исправление этой уязвимости, но, как оказалось, его легко обойти на стороне клиента, подменив UNC-путь на вредоносный в определенном формате. Возможность обхода исправления была закрыта в мае (CVE-2023-29324).

Доказательства использования этих уязвимостей неизвестным злоумышленником были получены в результате изучения образцов с VirusTotal. В некоторых из них впоследствии было обнаружено использование уязвимости CVE-2023-23397, другие были опубликованы уже после ее обнародования. Судя по временным меткам в заголовке, злоумышленник мог эксплуатировать эту уязвимость по меньшей мере в течение года.

В число целей входили правительственные и военные объекты, критически важная инфраструктура и IT-организации в Украине, Румынии, Польше, Иордании, Турции, Италии и Словакии.

С нашим анализом образцов, использовавшихся в атаке, можно ознакомиться здесь: Уязвимость CVE-2023-23397: комплексный анализ образцов первичной атаки.

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные объекты в Восточной Европе. В ходе описанных кампаний атакующие стремились организовать постоянный канал для эксфильтрации данных, в том числе из физически изолированных систем.

Учитывая сходство этих кампаний с ранее исследованными (такими, как ExCone и DexCone), включая применение вариаций FourteenHi, выбор целей атаки и характерные тактики, техники и процедуры, мы можем предположить со средней или высокой степенью уверенности, что за этими атаками стоят злоумышленники из группировки APT31, также известной как Judgment Panda и Zirconium.

Злоумышленники выводят украденные данные и доставляют вредоносное ПО следующего этапа через облачное хранилище данных, например Dropbox или «Яндекс Диск», либо через файлообменные сервисы. Кроме того, они размещают свои командные серверы на обычных виртуальных частных серверах (VPS). Атакующие также используют стек имплантов для сбора информации в физически изолированных сетях с помощью зараженных съемных накопителей.

В большинстве имплантов применяются однотипные реализации техники подмены DLL (DLL hijacking), которые часто связывают с вредоносным ПО ShadowPad — похожие методы внедрения в память, а также шифрование RC4, позволяющее скрывать вредоносную нагрузку и избегать обнаружения. Для реализации зашифрованного обмена данными с командными серверами к имплантам подключались библиотеки libssl.dll или libcurl.dll.

В общей сложности мы обнаружили более 15 имплантов и их вариантов, внедренных злоумышленниками в разных сочетаниях. Весь стек имплантов, примененных в атаках, можно разделить на три категории, исходя из их ролей:

• импланты первого этапа для постоянного удаленного доступа и первоначального сбора данных;
• импланты второго этапа для сбора данных и файлов, в том числе с физически изолированных систем;
• импланты третьего этапа и инструменты для выгрузки данных на командные серверы.

С полным текстом анализа можно ознакомиться здесь: Техники, тактики и процедуры атак на промышленные компании.

Злой двойник Telegram атакует китайских пользователей

Мы обнаружили в Google Play несколько вредоносных приложений, маскирующихся под версии Telegram на уйгурском, упрощенном и традиционном китайском языках. Приложения сопровождались описаниями на этих языках и изображениями, во многом повторяющими иллюстрации с официальной страницы Telegram в Google Play.

Разработчик модификаций пытался убедить пользователей установить его мод, заявляя, что он работает быстрее официального и других клиентов благодаря глобальной сети центров обработки данных.

Мы изучили код этих приложений и можем заключить, что это лишь слегка модифицированные версии официального приложения Telegram с дополнительным шпионским модулем, который постоянно следил за работой мессенджера и отправлял данные на командный сервер злоумышленника. К ним относились все контакты, отправленные и полученные сообщения с вложениями, названия чатов и каналов, имя и телефон владельца учетной записи — в общем, вся переписка жертвы. Если жертва меняла имя или номер телефона, эта информация также передавалась злоумышленникам.

Мы рекомендуем загружать приложения только из официальных магазинов, хотя даже это не гарантирует полной безопасности. Следует с осторожностью относиться к сторонним модам, даже если они доступны в Google Play. Мы сообщили об этой угрозе в компанию Google, которая удалила все эти приложения из Google Play.

Прочее вредоносное ПО

Возможная атака на Linux-системы через цепочку поставок

В последние несколько лет компьютеры на базе Linux все чаще становятся целью самых разных злоумышленников. По данным нашей телеметрии, в первой половине 2023 года наши решения обнаружили 260 тысяч уникальных образцов вредоносного ПО для этой ОС. К сожалению, нацеленные на Linux кампании могут продолжаться несколько лет, прежде чем попадут в поле зрения специалистов по кибербезопасности. Мы обнаружили одну такую долгосрочную атаку при исследовании набора подозрительных доменов.

Мы выяснили, что у рассматриваемого домена имеется поддомен deb.fdmpkg[.]org, при доступе к которому пишется, что там размещен Debian-репозиторий программы Free Download Manager. Мы заполучили Debian-пакет этой программы, доступный для загрузки с URL-адреса https://deb.fdmpkg[.]org/freedownloadmanager.deb. Как выяснилось, он содержит зараженный скрипт postinst, который выполняется после установки. Он создает два файла ELF по путям /var/tmp/crond и /var/tmp/bs, а затем для закрепления в системе создает задачу cron (хранится в файле /etc/cron.d/collect), запускающую файл /var/tmp/crond каждые 10 минут.

Версия Free Download Manager, которую устанавливает зараженный пакет, была выпущена 24 января 2020 года. При этом в скрипте postinst присутствуют комментарии на русском и украинском языках с информацией об изменениях в новых версиях вредоносной программы и заявлениями активистского характера. В этих комментариях также указаны даты: 20200126 (26 января 2020 года) и 20200127 (27 января 2020 года).

После установки пакета с вредоносным ПО при каждом запуске системы планировщик cron запускает исполняемый файл /var/tmp/crond. Этот исполняемый файл и есть бэкдор, он не импортирует из внешних библиотек никаких функций. Для доступа к API Linux он использует системные вызовы с помощью скомпонованной статически библиотеки dietlibc.

После запуска бэкдор создает DNS-запрос типа A для домена <20-байтовая_строка_в_шестнадцатеричном_формате>.u.fdmpkg[.]org. В ответ бэкдор получает два IP-адреса, в которых закодирован адрес и порт вторичного командного сервера. После обработки ответа на DNS-запрос бэкдор запускает реверс-шелл, используя для коммуникации вторичный командный сервер. Для передачи данных применяется протокол SSL или TCP. Если выбран протокол SSL, бэкдор crond запускает исполняемый файл /var/tmp/bs и делегирует ему всю последующую коммуникацию. В противном случае реверс-шелл создается самим бэкдором crond.

Злоумышленники используют реверс-шелл для установки Bash-стилера, который извлекает сведения о системе, журнал браузера, сохраненные пароли, файлы криптовалютных кошельков, а также учетные данные для облачных служб (AWS, Google Cloud, Oracle Cloud Infrastructure и Azure). Стилер загружает с командного сервера бинарный файл-загрузчик по пути /var/tmp/atd, который используется для отправки результатов работы стилера злоумышленникам. Всю цепочку заражения можно представить в виде схемы:

Перенаправление на вредоносный домен deb.fdmpkg[.]org происходило не во всех случаях. Возможно, скрипт разработчиков вредоносного ПО выполнял перенаправление с определенной вероятностью или в зависимости от цифрового отпечатка жертвы.

Мы проверили, встречаются ли совпадения кода с другими образцами вредоносного ПО. Оказалось, что бэкдор crond представляет собой модифицированную версию бэкдора Bew, известного с 2013 года.

Группировка Cuba Ransomware

В сентябре мы детально разобрали историю, а также тактики, техники и процедуры группировки Cuba Ransomware, которая впервые попала в поле нашего зрения в конце 2020 года под именем Tropical Scorpius. За время своего существования группировка несколько раз меняла свое название. Она также известна как ColdDraw и Fidel. В феврале этого года нам стало известно еще одно название этой группировки — V Is Vendetta. Оно отличается от излюбленной хакерами кубинской тематики и может быть псевдонимом одной из подгрупп или подразделений.

Целями группировки были различные компании по всему миру, в том числе предприятия розничной торговли, финансовые и логистические компании, государственные учреждения и промышленные производства. Большинство из них расположены в США, но некоторые жертвы — в Канаде, Европе, Азии и Австралии.

Как и большинство известных шифровальщиков последних лет, Cuba шифрует файлы жертв и требует выкуп в обмен на ключ дешифрования. Группировка использует не только всем известные классические средства для получения учетных данных, такие как Mimikatz, но и самописное ПО. Также злоумышленники эксплуатируют уязвимости в ПО жертвы — в основном это известные уязвимости, такие как связки ProxyShell и ProxyLogon для атак на серверы Exchange, а также уязвимости для эксплуатации сервиса резервного копирования и восстановления данных Veeam. Также известно, что злоумышленники используют скомпрометированные соединения по протоколу удаленного рабочего стола (RDP) для первоначального доступа.

Группировка использует модель двойного вымогательства: помимо шифрования данных, она угрожает опубликовать похищенную информацию в интернете, если жертва не заплатит. Злоумышленники шифруют данные по симметричному алгоритму Xsalsa20, ключи которого, в свою очередь, шифруются асимметричным алгоритмом RSA-2048. Такая схема шифрования называется гибридной и является криптостойкой, то есть расшифровать данные без ключа невозможно.

Проанализировав Bitcoin-кошельки, которые злоумышленники оставляют в записках с требованием выкупа (ransom note) в системах жертв, мы выяснили, что общая сумма входящих и исходящих транзакций на них составляет более 3600 BTC, или более 103 000 000 долларов США (по курсу 28,624 доллара за 1 BTC). При этом стоит отметить, что группировка владеет большим количеством кошельков и постоянно переводит средства между ними, а также активно пользуется биткойн-миксерами — сервисами, пропускающими биткойны через серию анонимных транзакций — для того чтобы их происхождение было сложнее отследить в цепочке.

Точное происхождение Cuba и личности членов группы неизвестны, но некоторые исследователи считают, что она может быть преемницей другой группы вымогателей, известной под названием Babuk. При этом, как и многие другие вымогатели, Cuba работает по модели «шифровальщик как услуга» (RaaS), где партнеры могут использовать шифровальщик и его инфраструктуру в обмен на долю от выкупа.

Утечка билдера Lockbit 3

Lockbit — один из самых распространенных типов шифровальщиков. Он распространяется среди партнеров по модели RaaS, предлагая участникам до 80% от суммы выкупа. Также действует программа вознаграждений за обнаружение уязвимостей, позволяющих расшифровать файлы без уплаты выкупа (по заявлению операторов Lockbit, сумма вознаграждения достигает 50 тысяч долларов). У Lockbit также имеется портал, позволяющий выполнять поиск по утечкам информации из компаний, ставших жертвами программ-шифровальщиков.

Третья версия Lockbit, также известная как Lockbit Black, впервые была обнаружена в июне прошлого года. Эта версия стала серьезным вызовом для аналитиков и автоматизированных систем анализа. В ней используются зашифрованные исполняемые файлы со случайно генерируемыми паролями, препятствующими автоматическому анализу, эффективные методы защиты от обратного инжиниринга и множество недокументированных функций Windows уровня ядра.

В сентябре 2022 года произошла утечка билдера Lockbit 3, позволяющего любому пользователю сконструировать свою собственную версию программы-шифровальщика.

Сразу после этой утечки наша команда реагирования на киберинциденты (GERT) обнаружила случай вторжения с последующим шифрованием критически важных систем с помощью варианта Lockbit 3, детектируемого как Trojan.Win32.Inject.aokvy. При вторжении использовались тактики, техники и процедуры, аналогичные описанным в нашем отчете о восьми основных группах — операторах шифровальщиков. Хотя этот вариант был идентифицирован как Lockbit, процедура требования выкупа существенно отличалась от стандартной схемы этих злоумышленников: в записке с требованием содержался заголовок, связанный с неизвестной ранее группировкой под названием NATIONAL HAZARD AGENCY.

Оригинальная записка с требованием выкупа Lockbit и другая записка, имеющая отношение к ранее неизвестной группе

Согласно публикациям других аналитиков, появились различные группы, использующие утекшую в сеть версию билдера, но уже со своими собственными записками и каналами связи. Оказалось, что утечкой воспользовалось большое количество злоумышленников.

Записки с требованием выкупа от BL00DY RANSOMWARE GANG и GetLucky

Наша команда GERT проанализировала билдер, чтобы разобраться в методологии конструирования шифровальщика и определить возможности для дополнительного анализа.

Непрерывно развивающийся мир crimeware

Ландшафт вредоносного ПО постоянно эволюционирует: появляются новые семейства вредоносных программ, какие-то исчезают, какие-то пропадают из поля зрения, чтобы потом появиться вновь. Именно поэтому мы отслеживаем все эти изменения, опираясь при этом не только на обнаруженные нами образцы, но и на результаты нашего мониторинга, в том числе ботнетов и подпольных форумов.

Недавно мы обнаружили новый загрузчик под названием DarkGate, новую кампанию с использованием стилера LokiBot и новые образцы Emotet.

Наше знакомство с DarkGate началось в июне 2023 года, когда известный автор вредоносного ПО похвастался на одном из популярных даркнет-форумов, что закончил разработку загрузчика, начатую в 2017 году и занявшую у него более 20 000 часов. Некоторые из основных функций выходят за рамки типового загрузчика, в их числе скрытый VNC, функция добавления в исключения в Защитник Windows, стилер истории браузера, обратный прокси, файловый менеджер и стилер токенов Discord.

Некоторые из функций отсутствовали в образце, оказавшемся в нашем распоряжении, поскольку их можно включать или выключать в билдере. Несмотря на это, нам удалось полностью воссоздать цепочку заражения, состоящую из четырех этапов, вплоть до загрузки конечной полезной нагрузки — самого DarkGate.

• VBS-загрузчик. Он задает несколько переменных окружения, чтобы обфусцировать последующие вызовы команд. Затем с командного сервера скачиваются два файла (exe и script.au3). Файл Autoit3.exe выполняется с указанием script.au3 в качестве аргумента.
• Скрипт AutoIT V3. Это свободно распространяемый скриптовый язык наподобие BASIC, который часто используется авторами вредоносных программ, так как позволяет имитировать нажатие клавиш, перемещение мыши и выполнять множество других действий. Исполняемый скрипт обфусцирован; в итоге он выделяет память для встроенного шелл-кода и затем исполняет его.
• Шелл-код. Он создает PE-файл в памяти, динамически получает доступ к таблице импорта и передает этому файлу контроль.
• Исполнитель DarkGate (PE-файл, созданный шелл-кодом). Исполнитель загружает файл au3 в память и находит в нем зашифрованный блок данных, который расшифровывается с использованием XOR-ключа и операции NOT. В результате получается PE-файл, из которого динамически разрешается таблица импорта. Последний этап — загрузчик DarkGate.

Стилер LokiBot впервые был обнаружен в 2016 году и активно используется до сих пор. Он предназначен для кражи учетных данных из различных приложений (браузеров, FTP-клиентов и др.). Недавно мы обнаружили фишинговую кампанию на основе LokiBot, нацеленную против организаций, которые специализируются на морских грузоперевозках.

В расследованных нами случаях жертвы получали электронное письмо якобы от делового партнера с требованием уплатить портовые сборы. В письмо был вложен документ Excel. При открытии документа появлялся запрос на включение макросов. Однако никаких макросов в документе не было. В действительности документ пытался эксплуатировать уязвимость CVE-2017-0199, чтобы открыть удаленный документ через ссылку. В результате загружается документ в формате RTF, который, в свою очередь, эксплуатирует другую уязвимость, а именно CVE-2017-11882, позволяющую загрузить и запустить LokiBot.

После запуска LokiBot собирает учетные данные из различных источников и сохраняет их в свой буфер, а затем отправляет на командный сервер. После отправки информации о системе вредоносная программа ожидает дополнительных команд от командного сервера: например, на скачивание дополнительного вредоносного ПО, запуск кейлоггера и т. д.

Emotet — известный ботнет, который был ликвидирован в 2021 году, но впоследствии возобновил свою активность. В последней волне атак злоумышленники использовали популярный вектор заражения через OneNote — рассылали письма с вредоносными файлами OneNote.  Если открыть такое вложение, появляется изображение, похожее на показанное ниже:

Если нажать кнопку просмотра, выполняется вредоносный обфусцированный встроенный VBS-скрипт. Полезная нагрузка может скачиваться с нескольких сайтов, к которым скрипт обращается по очереди. Если попытка оказывается успешной, он сохраняет полезную нагрузку (DLL-файл) во временную папку, а затем выполняет ее с помощью системной утилиты regsvc32.exe. Выполняемый DLL-файл загружает ресурс (LXGUM) из раздела ресурсов и расшифровывает его, используя простой алгоритм rolling XOR.

Расшифрованная полезная нагрузка представляет собой шелл-код, который выполняет стандартный импорт по хэшу. Две из импортируемых функций — LdrLoadDll и LdrGetProcedureAddress. Разработчики вредоносного ПО часто используют их для защиты от динамического анализа известных API-функций (в этом случае — LoadLibrary и GetProcAddress). На следующем шаге выделяется пространство в памяти, в которое записывается блок данных (PE-файл) из раздела ресурсов, — это и есть итоговая полезная нагрузка Emotet. После инициализации зависимостей DLL-файла восстанавливается таблица адресов импорта (IAT). Затем шелл-код перезаписывает заголовок DOS в PE-файле, чтобы усложнить EDR-решениям обнаружение в памяти бинарного файла. Наконец выполняется Emotet. Сама полезная нагрузка Emotet не отличается от использованной в предыдущих волнах атак.

Все подробности приводятся в нашем отчете о crimeware.

Криптор, стилер и банковский троянец

Мы отслеживаем активность на различных подпольных форумах. На одном из таких форумов мы увидели объявление о новом варианте криптора и загрузчика ASMCrypt. Его задача — доставлять итоговую полезную нагрузку так, чтобы процесс загрузки или сама полезная нагрузка остались незамеченными антивирусом или EDR-решением. В этом зловред очень похож на DoubleFinger, более того, мы полагаем, что ASMCrypt является усовершенствованной версией DoubleFinger. Однако ASMCrypt работает немного по-другому: он выступает скорее как «фасад» для службы, которая выполняется в сети TOR.

Сначала покупатель приобретает бинарный файл ASMCrypt, который подключается к серверной службе через сеть TOR с использованием жестко прописанных учетных данных. Если подключение установлено успешно, открывается меню выбора параметров.

Покупатель может задать следующие параметры:

• метод скрытого или невидимого внедрения;
• процесс, в который будет внедрена полезная нагрузка;
• имя папки для закрепления в автозагрузке;
• тип полезной нагрузки: либо сам зловред, который маскируется под Apple QuickTime, либо легитимное приложение, которое динамически загружает вредоносный DLL-файл.

После того как покупатель выберет нужные параметры и запустит сборку, приложение создаст зашифрованный блок данных, спрятанный в PNG-файле. Этот файл необходимо отправить на веб-сайт для хостинга изображений. Кроме того, создается вредоносная DLL-библиотека либо бинарный файл (в зависимости от выбранного параметра), который и распространяют злоумышленники. Когда вредоносная DLL-библиотека выполняется в целевой системе, она скачивает PNG-файл, расшифровывает его, загружает в память и выполняет.

Мы также опубликовали отчет о новой версии стилера Lumma. Стилер Arkei, написанный на языке C++, впервые был замечен в мае 2018 года. За последние несколько лет появилось множество его вариантов: Vidar, Oski, Mars и, наконец, — Lumma (код этого стилера на 46% совпадает с Arkei).

Lumma распространяется через поддельный веб-сайт для преобразования файлов DOCX в PDF, который маскируется под легитимный. Отправленный на него файл возвращается с двойным расширением *.pdf.exe.

Основные функции всех вариантов оставались одинаковыми: кража кэшированных файлов, конфигурационных файлов и логов криптовалютных кошельков. Зловред может работать как плагин для браузера, но также совместим с приложением Binance. В нашем отчете мы отмечаем основные изменения, которые претерпел стилер Lumma с момента своего появления в августе 2022 года.

Банковский троянец для Android Zanubis был впервые обнаружен в августе 2022 года. Тогда он использовался для атаки на пользователей финансовых организаций и криптовалютных бирж в Перу. Zanubis имитирует легитимные перуанские приложения для Android и запрашивает у пользователя доступ к специальным возможностям с целью получения полного контроля над устройством.

Новые образцы Zanubis мы обнаружили примерно в апреле 2023 года. Троянец выдает себя за Android-приложение Национального управления таможенной и налоговой администрации Перу (SUNAT). Мы изучили обновившуюся функциональность троянца, ставшего за это время более продвинутым.

Зловред обфусцирован с помощью Obfuscapk, популярного обфускатора APK-файлов для Android. После того как жертва предоставляет Zanubis доступ к специальным возможностям, он начинает работать в фоновом режиме и загружает в окне WebView легитимный веб-сайт SUNAT для проверки задолженностей. Таким образом Zanubis имитирует обычное приложение в экосистеме SUNAT, чтобы не вызывать подозрений у пользователя.

Для подключения к командному серверу используются протокол WebSocket и библиотека Socket.IO. С помощью последней вредоносное ПО устанавливает постоянное соединение с командным сервером, позволяющее переключаться с WebSocket на HTTP и наоборот. Также библиотека предоставляет командному серверу доступ к масштабируемой среде, где все новые устройства, зараженные Zanubis, могут при необходимости массово получать команды (также называемые событиями) от командного сервера.

Интересно, что зловред выдает себя за обновление Android, блокируя тем самым возможность использования телефона. Во время такого «обновления» пользователь не может управлять телефоном — его невозможно заблокировать или разблокировать, так как троянец мониторит подобные попытки и пресекает их.

Ознакомиться с нашими отчетами по ASMCrypt, Lumma и Zanubis можно здесь.

Вредоносное ПО постоянно эволюционирует. При этом меняются тактики, техники и процедуры, что затрудняет его обнаружение. Кроме того, организациям бывает сложно определиться, от какого типа вредоносных программ необходимо защищаться в первую очередь. Аналитические отчеты об угрозах помогают быть в курсе опасностей, актуальных для вашего бизнеса, и оставаться под надежной защитой. Если вы хотите получать свежую информацию о новейших тактиках, методах и процедурах злоумышленников или задать вопрос о наших приватных отчетах, напишите по адресу crimewareintel@kaspersky.com.