BI.ZONE: хактивисты стали совершать больше атак, но их мотивация становится неоднозначной

BI.ZONE: хактивисты стали совершать больше атак, но их мотивация становится неоднозначной

Изображение: recraft

Хактивистские группировки стоят за каждой пятой кибератакой на российские компании. Злоумышленники активно экспериментируют с методами и используют новые инструменты. При этом многие кластеры, которые принято считать хактивистскими, руководствуются также финансовой выгодой.

Из всех кибератак, которым российские организации подверглись за первые 6 месяцев 2025 года, на долю хактивистов пришлось 20%. По сравнению с аналогичным периодом прошлого года этот показатель вырос: тогда он составлял 14%.

При этом сохраняется тренд на размывание мотивации, который наметился еще в 2023 году. Все больше кластеров, классифицируемых исследователями как хактивистские, требуют у своих жертв выкуп за расшифровку данных или восстановление доступа к инфраструктуре. Затем эти же злоумышленники публикуют сообщения об успешной атаке в телеграм-каналах или на теневых форумах якобы из идеологических соображений. Еще ряд хактивистских кластеров сосредотачивается на шпионаже.

Атаки хактивистов могут представлять серьезную угрозу: с ними связаны 24% всех высококритичных киберинцидентов, зафиксированных в первом полугодии. В 2024 году этот показатель был еще выше и составил 30%. Отчасти это может быть связано с высоким уровнем кооперации в хактивистском сообществе, который позволяет группировкам объединять усилия для кибератак. Кроме того, некоторые кластеры активно экспериментируют с методами и инструментами, в том числе самописными.

Олег Скулкин, руководитель BI.ZONE Threat Intelligence: «В качестве примера можно привести недавнюю серию атак группировки Rainbow Hyena. Злоумышленники рассылали фишинговые письма с реальных почтовых адресов, принадлежащих ранее скомпрометированным компаниям. К письмам были приложены polyglot-файлы, замаскированные под документацию. Такие файлы соответствуют одновременно нескольким форматам и ведут себя по-разному в зависимости от того, в каком приложении открываются. Все это повышало шансы атакующих обойти почтовые фильтры.Если пользователь открывал вложение, на устройство устанавливался бэкдор PhantomRemote. Это новый самописный инструмент, который позволяет злоумышленникам собирать информацию о скомпрометированной системе, загружать с их сервера другие исполняемые файлы, а также выполнять команды на устройстве жертвы».

Основными целями Rainbow Hyena в этот раз стали организации из сфер здравоохранения и IT. IT-отрасль — лидер по числу хактивистских атак в первом полугодии 2025 года: на ее долю пришлось 25% всех случаев. В число наиболее атакуемых хактивистами также вошли телекоммуникационные компании и госсектор (18% и 11% атак соответственно).

Фишинговые рассылки — популярный вектор атаки на организации. Для защиты почты можно применять специализированные сервисы, фильтрующие нежелательные письма, например, BI.ZONE Mail Security. Решение сочетает ML-технологии защиты почты от сложных атак, гибкое управление трафиком и высокую производительность. Также продукт включает расширенные способы интеграции с внешними системами и получает актуальные данные от портала киберразведки.

BI.ZONE
Автор: BI.ZONE
BI.ZONE — компания по управлению цифровыми рисками, которая помогает организациям по всему миру безопасно развивать бизнес в цифровую эпоху. Специализируется на подготовке индивидуальных стратегий для сложных проектов на основе более чем 40 собственных продуктов и услуг, а также предлагает простые автоматизированные решения и аутсорсинг для небольших компаний. С момента основания в 2016 году реализовала более 850 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других. Компетенции команды BI.ZONE признаны на международном уровне и подтверждены сертификатами крупнейших мировых агентств.
Комментарии: