Поделиться
«Лаборатория Касперского» представила первый масштабный технический анализ кибергрупп, атакующих Россию
Команда Kaspersky Cyber Threat Intelligence провела технический анализ активности 14 кибергрупп, наиболее интенсивно атакующих организации в России (по данным «Лаборатории Касперского»). В их числе — хактивисты, которые появились в отечественном ландшафте угроз после 2022 г. и публично называли себя проукраинскими. Это первое всеобъемлющее исследование, где описаны техники, тактики и процедуры этих кибергрупп и подтверждено существование связей между ними. Об этом CNews сообщили представители «Лаборатории Касперского».
Три кластера — одна угроза. Специалисты «Лаборатории Касперского» объединили группы атакующих в три кластера — исходя из мотивов и инструментария злоумышленников.
Хактивисты действуют по идеологическим соображениям и в основном стремятся разрушить инфраструктуру компаний в России. К ним относятся TWELVE, BlackJack, Head Mare, C.A.S, Crypt Ghouls.
APT-группы проводят сложные целевые кампании с целью кибершпионажа: Awaken Likho, Angry Likho, GOFFEE, Cloud Atlas, Librarian Likho (ранее — Librarian Ghouls), Mythic Likho, XDSpy.
В третий, гибридный, кластер вошли злоумышленники, которые имеют уникальный почерк, — BO TEAM и Cyberpartisans.
Исследователи доказали, что большинство изученных групп взаимодействуют друг с другом. Они могут использовать одинаковые инструменты и даже делить роли в операциях против российских компаний: кто-то отвечает за доступ, другие — за закрепление и нанесение ущерба.
От разрозненных действий к коллаборациям и публичности. После 2022 г. число кибергрупп, атакующих Россию, резко выросло — в основном за счет хактивистов. К настоящему времени злоумышленники стали более опытными и организованными. Они общаются, обмениваются знаниями и инструментами для достижения общей цели и стремятся к публичности. Угроза продолжает нарастать, поскольку об атаках на российские организации регулярно заявляют все новые группы. Только в 2025 г., по данным «Лаборатории Касперского», их появилось как минимум семь.
Кого атакуют. Хотя под ударом разные отрасли, в топ-3 целей входят госсектор, промышленность и телеком. Большинство изученных кибергрупп атакуют именно их. При этом злоумышленников одинаково интересуют и крупный бизнес, и небольшие предприятия.
Инструменты Red Team «в дикой природе». За последние годы группы стали более технически подкованными. Инструменты, которые ранее использовались крайне редко, были характерны только для подразделений Red Team либо существовали лишь «на бумаге», все чаще встречаются в реальных инцидентах. Это может говорить о том, что злоумышленники изучают не только открытые источники, но и профессиональные исследования, экспериментируют и адаптируют их под нужные цели.
«По нашим данным, с 2022 г. Россия является самой атакуемой страной в киберпространстве. Ключевой угрозой для отечественных организаций остается хактивизм: растет число таких групп, постоянно повышается их технический уровень. Важно понимать, что методы, которые используют одни злоумышленники, рано или поздно берут на заметку другие, — сказал Никита Назаров, руководитель отдела расширенного исследования угроз «Лаборатории Касперского». — Наш новый отчет — это вклад в глобальную кибербезопасность. С его помощью ИБ-специалисты смогут быть на шаг впереди угрозы, которая приобрела системный характер в России и других регионах».
Для защиты от этой угрозы «Лаборатория Касперского» рекомендует организациям: предоставлять SOC-командам свежую информацию о новейших тактиках, техниках и процедурах злоумышленников (TTPs); использовать надежное защитное решение от вендора, эффективность технологий которого подтверждается независимыми тестами; применять комплексное решение для защиты; использовать межсетевой экран нового поколения; регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием фишинга и других методов социальной инженерии.
Короткая ссылка
