Эволюция хактивизма: каким был ландшафт киберугроз для бизнеса в 2025 году

Сегодня, по данным нашего портала киберразведки (Threat Intelligence), Россия является мишенью для более сотни уникальных хакерских группировок. Массовый и системный характер приобрела угроза APT-объединений (Advanced Persistent Threat), которые проводят сложные целевые кампании, и хактивистов — многие из них публично именуют себя проукраинскими и начали атаковать Россию после 2022 года. Всего мы насчитываем около 50 таких группировок, в совокупности они совершают порядка половины кибератак на организации в России.

Атакующие постоянно развивают свои инструменты и используют всевозможные ухищрения, чтобы избежать обнаружения и усложнить работу ИБ-службам. Например, летом мы выявили масштабную киберкампанию APT-группировки, которую мы относим к кластеру Likho. Злоумышленники атаковали предприятия по ночам — строго с 1:00 до 5:00. За это время они пытались украсть учетные записи сотрудников и заразить систему вредоносным ПО для нелегитимной добычи криптовалюты. Вероятно, злоумышленники надеялись, что ИБ-службы будут менее бдительны в ночное время. Также в ходе одного из исследований мы выяснили, что в этом году та же группировка начала создавать собственные «зловреды», причем в их коде мы обнаружили признаки использования искусственного интеллекта. На протяжении года ИИ активно применяли и другие злоумышленники — например, для разработки шифровальщиков, создания фишинговых ресурсов и автоматизации других звеньев атак.

Хактивисты, которые обычно руководствуются идеологическими соображениями и своими действиями выражают несогласие с какой-либо политикой, стали брать на заметку более сложные инструменты, в том числе создавать собственные — аналогично APT-группировкам. Они также начали использовать сложные техники, которые раньше встречались только в легитимных операциях команд Red Team, то есть при моделировании реальных атак для проверки защищенности систем организаций.

Злоумышленники все чаще преследуют сразу несколько целей. С одной стороны, их атаки носят деструктивный характер: они стремятся разрушить инфраструктуру и публично заявить об «успехах» — в Telegram, даркнете или на другой площадке. С другой — в некоторых случаях реализуют и более сложные операции, например кампании кибершпионажа.

Скоординированные киберкампании

Во второй половине года мы наблюдали растущую тенденцию, когда сразу несколько группировок одновременно совершают скоординированные атаки на одну и ту же организацию. Первая взламывает инфраструктуру, вторая действует изнутри, а третья наносит ущерб. Подобные кампании уже не являются чем-то необычным и значительно усложняют атрибуцию, поскольку становится трудно определить тактики, техники и процедуры конкретных атакующих.

Показателен пример одной из группировок, которая заявила о себе в начале 2025 года в Telegram и провела серию кибератак против российских организаций. Изучая активность злоумышленников, мы обнаружили не только новую программу-шифровальщик, но и «фирменные» бэкдоры других объединений, которые активно атакуют страну последние годы. Это указывает на то, что это была серия скоординированных кибератак двух-трех группировок на одну и ту же цель.

Атаки на доверие

Количество кибератак, когда злоумышленники ищут и компрометируют более слабое звено, например небольшую компанию, чтобы добраться до крупной организации (техника Trusted Relationship), продолжает кратно увеличиваться последние несколько лет. Заметный рост числа таких атак наблюдается и в 2025 году. Мы ожидаем, что незащищенные подрядчики останутся одной из основных мишеней злоумышленников в ближайшем будущем, поскольку не все организации обращают внимание на уровень информационной безопасности и контроль доступа внешних исполнителей. Последствия подобных инцидентов могут быть фатальными для основной, конечной цели группировок. Важная тенденция, которую мы наблюдаем: атаки на подрядчиков, которые раньше совершали в основном APT-объединения, занимающиеся кибершпионажем, стали проводить и хактивисты, и группировки с иной мотивацией, что раньше было редкостью.

Старый недобрый фишинг

Фишинг по-прежнему активно эксплуатируется злоумышленниками и остается одним из самых распространенных способов проникновения в инфраструктуру. Атакующие используют разные подходы: от простых уловок, например поддельных файлов с вводящими в заблуждение названиями, до сложных многоэтапных сценариев, рассчитанных на постепенное вовлечение и обман получателя.

Чтобы вызвать доверие, злоумышленники все чаще применяют реальные документы, ранее украденные в других атаках, а также используют взломанные электронные почтовые ящики прошлых жертв для рассылки новых вредоносных писем. Группировки внимательно следят за новостями, маскируются под госучреждения, крупные компании или подстраиваются под конкретную сферу деятельности. Так, медицинские организации могут получать письма якобы от страховых фирм с угрозами судебных разбирательств из-за «нарушений» или «плохого качества услуг».

Знай своего противника

Нет никаких предпосылок к тому, что активность злоумышленников спадет. Наоборот, картина, которую мы наблюдали в 2025 году, указывает на продолжающуюся эволюцию атакующих: они становятся более гибкими, создают собственные инструменты и при этом активнее делятся ресурсами с другими группировками. Это означает лишь одно: киберкампании против организаций будут проводиться все чаще, станут более масштабными и технически изощренными. В этих условиях для защиты от сложных угроз классических средств обнаружения сегодня уже недостаточно — организациям необходимо внедрять продвинутые решения. Например, класса EDR (Endpoint Detection & Response) для защиты и реагирования на конечных устройствах, и XDR (Extended Detection and Response) для обеспечения комплексной безопасности всей корпоративной инфраструктуры.

Первоочередное значение приобретает глубокое понимание ландшафта угроз, то есть от чего конкретной компании в определенной стране необходимо защищаться в первую очередь. Речь идет о потенциальных противниках, то есть хакерских группировках, а также их тактиках, техниках и процедурах. Информацию о релевантных угрозах можно получить из отчетов, которые ИБ-вендоры публикуют в открытом доступе, а также с помощью специальных решений, предоставляющих доступ к актуальным данным о киберугрозах.

Мнение редакции может не совпадать с точкой зрения автора