BI.Zone: хактивисты стали совершать больше атак, но их мотивация становится неоднозначной

Хактивистские группировки стоят за каждой пятой кибератакой на российские компании. Злоумышленники активно...

Хактивистские группировки стоят за каждой пятой кибератакой на российские компании. Злоумышленники активно экспериментируют с методами и используют новые инструменты. При этом многие кластеры, которые принято считать хактивистскими, руководствуются также финансовой выгодой.

Из всех кибератак, которым российские организации подверглись за первые 6 месяцев 2025 г., на долю хактивистов пришлось 20%. По сравнению с аналогичным периодом прошлого года этот показатель вырос: тогда он составлял 14%.

При этом сохраняется тренд на размывание мотивации, который наметился еще в 2023 г. Все больше кластеров, классифицируемых исследователями как хактивистские, требуют у своих жертв выкуп за расшифровку данных или восстановление доступа к инфраструктуре. Затем эти же злоумышленники публикуют сообщения об успешной атаке в Telegram-каналах или на теневых форумах якобы из идеологических соображений. Еще ряд хактивистских кластеров сосредотачивается на шпионаже.

Атаки хактивистов могут представлять серьезную угрозу: с ними связаны 24% всех высококритичных киберинцидентов, зафиксированных в первом полугодии. В 2024 г. этот показатель был еще выше и составил 30%. Отчасти это может быть связано с высоким уровнем кооперации в хактивистском сообществе, который позволяет группировкам объединять усилия для кибератак. Кроме того, некоторые кластеры активно экспериментируют с методами и инструментами, в том числе самописными.

Олег Скулкин, руководитель BI.Zone Threat Intelligence, отметил: «В качестве примера можно привести недавнюю серию атак группировки Rainbow Hyena. Злоумышленники рассылали фишинговые письма с реальных почтовых адресов, принадлежащих ранее скомпрометированным компаниям. К письмам были приложены polyglot-файлы, замаскированные под документацию. Такие файлы соответствуют одновременно нескольким форматам и ведут себя по-разному в зависимости от того, в каком приложении открываются. Все это повышало шансы атакующих обойти почтовые фильтры. Если пользователь открывал вложение, на устройство устанавливался бэкдор PhantomRemote. Это новый самописный инструмент, который позволяет злоумышленникам собирать информацию о скомпрометированной системе, загружать с их сервера другие исполняемые файлы, а также выполнять команды на устройстве жертвы».

Основными целями Rainbow Hyena в этот раз стали организации из сфер здравоохранения и ИТ. ИТ-отрасль — лидер по числу хактивистских атак в первом полугодии 2025 г.: на ее долю пришлось 25% всех случаев. В число наиболее атакуемых хактивистами также вошли телекоммуникационные компании и госсектор (18% и 11% атак соответственно).

Фишинговые рассылки — популярный вектор атаки на организации. Для защиты почты можно применять специализированные сервисы, фильтрующие нежелательные письма, например, BI.Zone Mail Security. Решение сочетает ML-технологии защиты почты от сложных атак, гибкое управление трафиком и высокую производительность. Также продукт включает расширенные способы интеграции с внешними системами и получает актуальные данные от портала киберразведки.

Чтобы защититься от атак злоумышленников, рекомендуется внедрять решения для защиты конечных точек от сложных угроз. Продукт BI.Zone EDR позволит выявить атаку до наступления ущерба и оперативно отреагировать на угрозу в автоматическом режиме или с помощью команды кибербезопасности.

Адрес новости:
https://safe.cnews.ru/news/line/2025-07-08_bizone_haktivisty_stali_sovershat