- 27,868
- 46
- 8 Ноя 2022
Рядовой поставщик услуг стал надёжной базой для координаторов цифровых вымогателей.
Инфраструктура кибератак часто живёт дольше доменов и отдельных IP-адресов, и новый отчёт Hunt.io показывает , насколько плотно такие узлы сосредоточились в Восточной Европе. С 12 марта по 12 июня 2026 года специалисты изучили инфраструктуру в 10 странах региона и выявили более 3900 активных C2-серверов у 302 провайдеров.
C2-серверы служат пунктами управления вредоносными программами. Через такие узлы операторы отправляют команды заражённым системам, принимают украденные данные и поддерживают работу кампаний. В исследование попали провайдеры из Беларуси, Болгарии, Чехии, Венгрии, Польши, Молдовы, Румынии, России, Словакии и Украины.
Главная концентрация оказалась у болгарской Friendhosting LTD. На инфраструктуре компании нашли 2100 C2-серверов, то есть около 53,5% всех таких узлов в выборке. Такой перекос сложно заметить при слежении за отдельными доменами и IP, но он проявляется при анализе уровня хостинга .
Всего Host Radar отметил 4331 вредоносный объект. Помимо 3923 C2-серверов, в выборке нашли открытые каталоги с вредоносным содержимым, фишинговые сайты и публично известные индикаторы компрометации. На C2-инфраструктуру пришлось около 90,6% всех находок, что показывает основной способ использования регионального хостинга.
В отчёте перечислены реальные кампании, связанные с выявленными узлами. Инфраструктуру Cloud Atlas нашли у нескольких восточноевропейских провайдеров. Также встречались узлы, связанные с фишингом, инфостилерами, ботнетами и злоупотреблением легальными инструментами удалённого администрирования.
По семействам вредоносной инфраструктуры лидирует Keitaro с 1277 уникальными C2 IP. Следом идут Tactical RMM и Acunetix. Отдельно отмечены Cobalt Strike, Sliver, Gophish, Mirai, Mozi и Hajime. Такой набор показывает, что одни и те же провайдерские площадки обслуживают как массовые криминальные кампании, так и более сложные операции после первичного взлома.
Авторы отчёта считают, что защита не должна опираться только на быстро меняющиеся IP-адреса и домены. Командам безопасности рекомендуют учитывать риск конкретных ASN и провайдеров, отслеживать повторяющиеся инфраструктурные связи и проверять, не появлялись ли источники подозрительной активности в прошлых кампаниях.
Инфраструктура кибератак часто живёт дольше доменов и отдельных IP-адресов, и новый отчёт Hunt.io показывает , насколько плотно такие узлы сосредоточились в Восточной Европе. С 12 марта по 12 июня 2026 года специалисты изучили инфраструктуру в 10 странах региона и выявили более 3900 активных C2-серверов у 302 провайдеров.
C2-серверы служат пунктами управления вредоносными программами. Через такие узлы операторы отправляют команды заражённым системам, принимают украденные данные и поддерживают работу кампаний. В исследование попали провайдеры из Беларуси, Болгарии, Чехии, Венгрии, Польши, Молдовы, Румынии, России, Словакии и Украины.
Главная концентрация оказалась у болгарской Friendhosting LTD. На инфраструктуре компании нашли 2100 C2-серверов, то есть около 53,5% всех таких узлов в выборке. Такой перекос сложно заметить при слежении за отдельными доменами и IP, но он проявляется при анализе уровня хостинга .
Всего Host Radar отметил 4331 вредоносный объект. Помимо 3923 C2-серверов, в выборке нашли открытые каталоги с вредоносным содержимым, фишинговые сайты и публично известные индикаторы компрометации. На C2-инфраструктуру пришлось около 90,6% всех находок, что показывает основной способ использования регионального хостинга.
В отчёте перечислены реальные кампании, связанные с выявленными узлами. Инфраструктуру Cloud Atlas нашли у нескольких восточноевропейских провайдеров. Также встречались узлы, связанные с фишингом, инфостилерами, ботнетами и злоупотреблением легальными инструментами удалённого администрирования.
По семействам вредоносной инфраструктуры лидирует Keitaro с 1277 уникальными C2 IP. Следом идут Tactical RMM и Acunetix. Отдельно отмечены Cobalt Strike, Sliver, Gophish, Mirai, Mozi и Hajime. Такой набор показывает, что одни и те же провайдерские площадки обслуживают как массовые криминальные кампании, так и более сложные операции после первичного взлома.
Авторы отчёта считают, что защита не должна опираться только на быстро меняющиеся IP-адреса и домены. Командам безопасности рекомендуют учитывать риск конкретных ASN и провайдеров, отслеживать повторяющиеся инфраструктурные связи и проверять, не появлялись ли источники подозрительной активности в прошлых кампаниях.
- Источник новости
- www.securitylab.ru
