Слияние хактивизма и киберпреступности: эволюция программ-вымогателей

Сближение хактивизма и киберпреступности: трансформация групп FunkSec, KillSec и GhostSec

В киберпространстве происходит значительная эволюция: традиционные группы хактивистов перестраивают свои стратегии и объединяются с финансово мотивированными киберпреступниками. Исторически хактивизм выражался в политически мотивированных атаках — DDoS, уничтожении веб-сайтов и прочих акциях протеста. Однако современные тенденции свидетельствуют о смене вектора развития — все больше групп внедряют программы-вымогатели, применяя передовые технологии и коммерчески успешные подходы.

Гибридные группы и новые модели угроз

Новые гибридные структуры, такие как FunkSec, KillSec и GhostSec, стирают прежние границы между идеологией и жаждой прибыли, что сильно усложняет как атрибуцию кибератак, так и разработку эффективных мер защиты.

• FunkSec — изначально политически мотивированная группа, которая к концу 2024 года трансформировалась в RaaS (Ransomware-as-a-Service). Софтуер FunkLocker, разработанный данной группой, использует генеративный искусственный интеллект для ускоренного выявления жертв в различных секторах, таких как правительство и образование. Группе приписывают не менее 172 жертв по всему миру.
• KillSec, действующая с 2021 года на российском киберпространстве, перенесла фокус с DDoS и взломов на ransomware-активности с применением двух основных методов шифрования. В июне 2024 года группа запустила RaaS-модель, позволяющую аффилированным лицам легко настраивать атаки. Особенностью KillSec стала тактика двойного вымогательства: помимо шифрования файлов, злоумышленники угрожают публикацией украденных данных, что существенно повышает давление на жертв.
• GhostSec известна значимыми хакерскими кампаниями и партнерством с ransomware-группой Stormous, организовавшей атаки на государственные органы Кубы. В конце 2023 года GhostSec представила собственное RaaS-решение GhostLocker с удобной панелью управления для аффилиатов. В мае 2024 года группа объявила о возвращении к хактивизму, мотивированному финансовым успехом, достигнутым через преступную деятельность, что демонстрирует тесную взаимосвязь идеологических и коммерческих мотивов.

Что стоит за изменениями в мотивации и тактиках?

Современные группы демонстрируют, что изначальные идеологические мотивы все чаще уступают место финансовой заинтересованности. Модель Ransomware-as-a-Service стимулирует вовлечение новых игроков, снижая порог входа в киберпреступный бизнес и расширяя масштаб операций.

Главные особенности этой тенденции:

• Использование генеративного искусственного интеллекта для быстрого обнаружения и идентификации потенциальных целей.
• Применение тактики двойного вымогательства, сочетающей шифрование с угрозой публикации украденных данных.
• Расширение сферы операций — от узконаправленных хактивистских кампаний до масштабных оппортунистических атак на широкий спектр организаций.
• Разработка панелей управления и настраиваемых решений для аффилиатов, что максимально упрощает организацию и проведение атак.

Выводы и перспективы

Трансформация таких групп, как FunkSec, KillSec и GhostSec, отражает более широкую тенденцию в киберугрозах: границы между хактивизмом и киберпреступностью продолжают размываться. Это создает серьезные вызовы для специалистов по кибербезопасности, так как сценарии атак становятся более разнообразными, динамичными и финансово мотивированными.

По мере усиления роли финансовых стимулов, модели RaaS и применение новых технологий, включая ИИ, становятся ключевыми драйверами развития вредоносной активности. В результате защищающимся организациям необходимо адаптировать стратегии и инструменты защиты, учитывая повышенную сложность и гибкость методов злоумышленников.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.