Kaspersky обнаружила кибератаку на разработчика DAEMON Tools

@companies.rbc
#Безопасность#Техника#Hi-Tech.Другое

С начала апреля 2026 года через официальный сайт DAEMON Tools распространяется легитимное ПО с бэкдором внутри

Kaspersky обнаружила кибератаку на разработчика DAEMON Tools
Источник изображения: Личный архив компании

Эксперты Глобального центра исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) выявили кибератаку на вендора DAEMON Tools. С начала апреля 2026 года через официальный сайт разработчика распространяется легитимное ПО с бэкдором внутри. Речь идет об одной из самых известных программ для работы с образами дисков.

К настоящему моменту зафиксировано свыше 2 тысяч заражений более чем в 100 странах, причем значительная часть пострадавших устройств — 20% — находится в России. Хотя DAEMON Tools широко используется частными пользователями, порядка 10% всех затронутых систем в мире являются корпоративными.

Злоумышленники скомпрометировали программное обеспечение DAEMON Tools, начиная с версии 12.5.0.2421 и вплоть до текущей. Они активно распространяют зараженное ПО, подписанное действительным цифровым сертификатом разработчика, с 8 апреля 2026 года. Если загрузить эту программу на устройство, оно будет заражено бэкдором, который позволяет атакующим обходить стандартные средства защиты, выполнять произвольные команды и развертывать дополнительные вредоносные программы на компьютере.

«Инцидент с DAEMON Tools в очередной раз подтверждает, что кибератаки через цепочки поставок ПО остаются актуальной угрозой для организаций и пользователей по всему миру. Компрометация такого рода опасна тем, что пользователи доверяют программам с цифровой подписью, скачанным напрямую от официального поставщика, — комментирует Леонид Безвершенко, старший эксперт Kaspersky GReAT. — В большинстве случаев на устройства доставлялась только вредоносная нагрузка, предназначенная для сбора информации. Другой, более сложный бэкдор, был обнаружен лишь на десятке компьютеров государственных, научных, производственных организаций и предприятий розничной торговли, расположенных в России, Беларуси и Таиланде. Такой способ развертывания бэкдора на небольшой подгруппе зараженных компьютеров явно указывает на то, что атака таргетированная. Мы продолжаем исследовать эту активность и ВПО, использованное в кампании».

«Лаборатория Касперского» связалась с компанией AVB Disc Soft — разработчиком DAEMON Tools — для принятия дальнейших мер по устранению последствий атаки. Обновление от 6 мая 2026 года: после получения информации о заражении вендор подтвердил наличие проблемы и выпустил обновленную версию программного обеспечения. В релизе 12.6.0.2445 исключена вредоносная функциональность, описанная в этом материале.

Учитывая сложность кибератаки, организациям крайне важно тщательно проверить компьютеры, на которых было установлено ПО DAEMON Tools, на наличие аномальной активности 8 апреля или после этой даты. Частным пользователям следует незамедлительно удалить зараженную программу, если она была загружена, и выполнить тщательное сканирование системы.

По данным внутреннего исследовательского центра «Лаборатории Касперского», кибератаки на цепочки поставок ПО стали самой частой угрозой для бизнеса в 2025 году: с ними столкнулись 31% компаний по всему миру, в России — 35%. 

Для снижения рисков подвергнуться этой угрозе организациям следует:

  • тщательно оценивать уровень ИБ вендоров ПО, прежде чем заключать с ними контракты: проверять их политики кибербезопасности, информацию о прошлых инцидентах и уровень соответствия индустриальным стандартам в области ИБ. При выборе ПО и облачных сервисов также рекомендуется оценивать данные об уязвимостях и проводить пентесты;
  • добавлять в контракты требования к соблюдению правил информационной безопасности: проводить регулярные аудиты, следить за соблюдением подрядчиками установленных в вашей организации правил ИБ и протоколов оповещения о киберинцидентах;
  • внедрять превентивные технологические меры, такие как принцип наименьших привилегий, принцип нулевого доверия, зрелую систему управления учетными записями, чтобы сократить ущерб в случае компрометации подрядчика;
  • применять решение для комплексной защиты всей ИТ-инфраструктуры;
  • разработать план реагирования на инциденты, в том числе в случае атаки на цепочки поставок ПО, и убедиться, что в него включены меры для быстрого выявления брешей и минимизации связанных с ними рисков, например путем отключения поставщика от систем компании;
  • сотрудничать с вендорами по вопросам кибербезопасности: усилить защиту с обеих сторон и сделать это двусторонним приоритетом;
  • обучать сотрудников навыкам цифровой грамотности, чтобы минимизировать риски атак с использованием методов социальной инженерии, в том числе фишинга; в этом помогут специализированные курсы или тренинги;
  • использовать только лицензионное ПО и регулярно его обновлять, следить за официальными заявлениями вендоров;
  • малому и среднему бизнесу — установить на корпоративные устройства надежную защитную программу.

О Kaspersky GReAT

Глобальный центр исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) основан в 2008 году. Его задача — выявлять APT-атаки, кампании кибершпионажа, вредоносное ПО, программы-вымогатели и тренды в киберпреступности по всему миру. Сегодня в команде Kaspersky GReAT более 35 экспертов, работающих по всему миру — в Европе, России, Южной Америке, Азии, на Ближнем Востоке. 

В 2026 году у группировки BO Team появились новые мишени

Выбор редакции

Все

Публикации, которые получают больше внимания и попадают в Сюжеты РБК

Рекомендации партнеров:

Данные о правообладателе фото и видеоматериалов взяты с сайта «РБК Компании», подробнее в Условиях использования
Анализ
×
Люди
Рейтинг людей
Безвершенко Леонид
Организации
Рейтинг организаций
74
АО "ЛАБОРАТОРИЯ КАСПЕРСКОГО"
Сфера деятельности:Национальные чемпионы
74
Места
Рейтинг мест
4 443
4 443
1 102
1 102
546
546
Технологии
Рейтинг технологий
58
58
25
25