Есть отчет Kaspersky Cyber Threat Intelligence про хакерсике группировки и угрозы:
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
Но этот отчет для профи, можете его скачать и посмотреть.
Для обычных людей интересно интервью ria.ru, там не много текста, но какое-то понимание думаю даст...
Прошедшее лето стало беспрецедентным по числу кибератак на российские компании, считает руководитель отдела расширенного исследования угроз "Лаборатории Касперского" Никита Назаров.
В интервью РИА Новости он рассказал, какие "проукраинские" группировки киберпреступников сейчас наиболее активны, где хакеры общаются с аудиторией и рассказывают о своих достижениях, какие цели в кибератаках они преследуют, и почему выбирают российские компании в качестве мишени. Беседовала Арина Ткаченко.
– Скажите, как вы в целом оцениваете ситуацию с кибератаками в России сегодня? Стало ли их больше после 2022 года?
– Уже больше десяти лет я работаю в сфере кибербезопасности и постоянно имею дело с инцидентами. С 2022 года атак действительно стало намного больше, но прошедшее лето оказалось беспрецедентным, за всю свою практику я не сталкивался с таким объемом. Сейчас инциденты фиксируются практически ежедневно.
В начале этого года появилось несколько новых кибергрупп: они публично о себе заявили, а потом резко замолчали и ушли в тень.
Старые тоже притихли. Мы думали: "Что произошло? Куда все делись?" Потом наступила весна, и начался рост атак.
– Если говорить конкретнее – сколько групп, атакующих Россию, появилось в 2025 году?
– Семь. Это достаточно серьезные цифры.
Например, до 2022 года появление новой группы на ландшафте угроз было большим событием.
А сейчас прирост может достигать десятка в год.
– За деятельностью скольких из них вы сейчас следите?
– Мы детально проанализировали 14 наиболее активных группировок — часть из них позиционирует себя публично как "проукраинские".
Но всего мы идентифицируем свыше 50 подобных объединений, которые в совокупности проводят более половины кибератак против организаций в России и Белоруссии.
– Эти 14 группировок, что они из себя представляют?
– Мы поделили их на три кластера: хактивисты, APT-группы (проводят сложные целевые атаки – ред.) и гибридные группы. Каждый кластер – это отдельная история.
Первые преследуют идеологические цели для нанесения деструктивных последствий организациям. Они стирают данные компаний и в некоторых случаях вымогают деньги. Хактивисты активно ведут соцсети, например Telegram-каналы. У некоторых групп даже есть сайты, где они рассказывают о своих "достижениях" и делятся последствиями взломов. Однако это лишь верхушка айсберга: в публичное поле выносится только около 10% их активности.
APT-группы — это более сложные объединения, их гораздо труднее обнаружить. Они занимаются исключительно кибершпионажем и в основном атакуют госсектор и промышленность. Нам удалось представить технические доказательства, что они могут вместе атаковать организации: одна "проламывает" периметр, а вторая действует изнутри. Интересно, что одна из этих групп – Awaken Likho – в последнее время переквалифицировалась и стала "вайпить" (уничтожать данные – ред.).
Это больше свойственно хактивистам.
К третьему кластеру мы относим две группы, которые существуют обособленно, но имеют признаки и хактивистов, и APT-злоумышленников: BО Team и "Киберпартизаны".
Они полностью независимы: создают собственное – довольно сложное – вредоносное ПО, не пересекаются по инфраструктуре, техникам, тактикам и процедурам.
Но при этом активны в публичном поле, ведут соцсети.
– Для чего кибергруппам нужны соцсети?
– Чтобы делиться "достижениями" и взаимодействовать с аудиторией. Обычно каждая группа ведет два-три канала на разных площадках. Часто у них есть некий публичный канал, где они рассказывают о кибератаках, и закрытая, более неформальная "говорилка". Основные платформы – Telegram и X, у некоторых есть свой сайт.
– Хакеры общаются с аудиторией в Telegram?
– В том числе.
– Почему группы "кричат" о своих взглядах, это выгодно?
– Точного ответа нет. Но, как мы видим по данным нашей киберразведки угроз (Threat Intelligence), порядка 90% атак скрыты от глаз общественности.
– Какие цели они преследуют?
– Цель хактивистов – "залететь" в инфраструктуру и "поломать" ее, пошифровать и уничтожить данные. Иногда они занимаются вымогательством. APT-группы более разборчивы, их основная задача – шпионаж. Поэтому они стараются не шуметь, потихоньку собирают информацию, которая им нужна.
– У этих хакеров есть другие направления, кроме России?
– Изученные нами АPT-группы атакуют разные страны – всего около 12, хотя их основная цель именно Россия.
Хактивистов же интересуют исключительно отечественные организации.
– А как выбирают жертв?
– Если посмотреть на количество их атак, то самые популярные сферы, ожидаемо, – госсектор и промышленность. Но нет ни одной отрасли, которая осталась бы в стороне, злоумышленников интересуют самые неочевидные сферы.
Кто-то может подумать: "Ну, уж мой зоомагазин точно не попадет в их поле зрения".
Это очень обманчивое суждение. Как мы видим, APT-группы более разборчивы и "работают" точечно, хактивисты атакуют всех, до кого могут дотянуться.
– Как последнее время развивались группы, изменился ли характер их атак?
– Большинство таких групп появилось после 2022 года. Есть, конечно, и те, кто существовал до этого. Например, CloudAtlas активна с 2011 года, но с 2022 года атакует исключительно Россию.
Другие страны эту группу больше не интересуют. Хотя раньше она охватывала весь материк и атаковала самые разные цели.
За последние годы злоумышленники довольно сильно эволюционировали. Большая часть групп, которые появились после 2022 года, поначалу вели себя очень шумно, работали "грязно".
Было сложно не заметить атакующих в инфраструктуре. Но теперь у них появились очень специфические техники, которые мы никогда не встречали "в дикой природе".
Раньше никто из реальных злоумышленников их не использовал – только подразделения Red Team (ред. – специалисты, которые имитируют кибератаки).
Возможно, на стороне этих групп появились бывшие IT-специалисты или участники RedTeam.
– А кто стоит за всеми этими группировками?
– Маловероятно, что это одни и те же люди. Хактивисты более публичны, а с остальными группами сложнее. Злоумышленники говорят на разных языках.
– Как вы оцениваете уровень их профессионализма?
– Довольно высокий. Технически некоторые группы находятся на уровне мировых APT.
– Можно ли предугадать кибератаку?
– Можно, если ты знаешь противника. В кибербезопасности есть такое понятие, как ландшафт угроз. Это все киберугрозы, которые угрожают компании, отрасли или стране.
Так вот, этот набор каждый год меняется. Если компания не будет адаптироваться к изменениям, есть большой риск, что ее взломают.
Наше исследование еще раз подтверждает этот тезис.
– Если вы посмотрите на атаку, сможете определить, какая группа за ней стоит?
– Как технический специалист – да. У каждой группы есть свой почерк, по которому можно угадать "автора" атак. Например, одна из групп практически не меняет стиль с 2014 года. Она занимается только фишинговыми рассылками, причем очень массовыми и однообразными. Даже внутри писем злоумышленников есть детали, которые выдают группу.
– А часто меняется характер атак?
– В среднем – раз в год. Но за последние два года появилось много угроз, которые стали очень распространены. Одна из них – атака через доверительные отношения. Представим, что существует компания "А", которая хорошо защищена. И у нее есть подрядчик, который, возможно, не так тщательно позаботился о собственной безопасности. Зачем лезть через высокую стену, если можно просто обойти ее? Злоумышленники думают именно так: сначала атакуют более уязвимого поставщика, чтобы через него получить доступ к желаемой организации.
Также в топе векторов атак – эксплуатация уязвимостей в периметре, открытые порты и, естественно, фишинг. Фишинг – "хлеб с маслом" для злоумышленников довольно долгие годы.
– Почему фишинг до сих пор работает? Это ведь одна из самых распространенных уловок, которая давно всем известна
– Злоумышленники постоянно совершенствуют свои схемы, в том числе фишинг. Раньше было проще: как правило, вид документа сразу намекал, что файл не стоит открывать. Поэтому злоумышленники начали присылать архивы, в которых сейчас много уязвимостей. Например, в WinRar, когда ты называешь папку и файл одним именем, при нажатии на архив автоматически запускается файл. Это очень популярная уязвимость. Пользователь ничего не подозревает, открывает архив и думает: "Я же умный, я просто посмотрю, а на сам файл не буду нажимать". Но в итоге все равно попадает в ловушку.
Таких техник много. Злоумышленники могут подсунуть жертве безобидный, на первый взгляд, файл. Например, ярлык, внутри которого на самом деле скрывается вредоносный скрипт. Эта техника называется "полиглот": пользователю кажется, что он видит обычный документ, который не вызывает подозрений. Но если его открыть, запустится незаметный процесс заражения компьютера.
– Сколько российских компаний подверглись атакам изученных групп?
– Счет идет на сотни, а количество атакованных растет в геометрической прогрессии. Причем под ударом компании абсолютно разного масштаба.
– Почему компании продолжают подвергаться взломам, если сфера кибербезопасности в России развивается?
– Проблема в том, что часто игнорируются именно азы операционной безопасности. Многие думают: "Я сейчас куплю готовое решение, и все будет в целости и сохранности".
Так не работает, нужен постоянный контроль и мониторинг всех корпоративных ресурсов, процессов и событий, которые происходят в инфраструктуре.
– Чего нам ожидать в будущем?
– Мы прогнозируем рост числа атак на цепочки поставок. Это интересная цель для кибергрупп, поскольку при взломе вендора им становится доступно много пользователей этого программного обеспечения.
Технически реализовать подобную схему пока сложно, но этот сценарий кажется вполне реалистичным и может иметь место в будущем.
В целом количество атак продолжит увеличиваться. Но и сфера информационной безопасности не стоит на месте: вендоры не дремлют и усиливают защиту, совершенствуют свои инструменты.
У российских компаний сегодня есть все возможности противостоять кибератакам.