«Лаборатория Касперского» представила первый масштабный технический анализ кибергрупп, атакующих Россию

Команда Kaspersky Cyber Threat Intelligence провела технический анализ активности 14 кибергрупп, наиболее интенсивно атакующих организации в России*. В их числе — хактивисты, которые появились в отечественном ландшафте угроз после 2022 года и публично называли себя проукраинскими. Это первое всеобъемлющее исследование, где описаны техники, тактики и процедуры этих кибергрупп и подтверждено существование связей между ними.

Три кластера — одна угроза. Специалисты «Лаборатории Касперского» объединили группы атакующих в три кластера — исходя из мотивов и инструментария злоумышленников.

• Хактивисты действуют по идеологическим соображениям и в основном стремятся разрушить инфраструктуру компаний в России. К ним относятся TWELVE, BlackJack, Head Mare, C.A.S, Crypt Ghouls.
• APT-группы** проводят сложные целевые кампании с целью кибершпионажа: Awaken Likho, Angry Likho, GOFFEE, Cloud Atlas, Librarian Likho (ранее — Librarian Ghouls), Mythic Likho, XDSpy.
• В третий, гибридный, кластер вошли злоумышленники, которые имеют уникальный почерк, — BO TEAM и Cyberpartisans.

Исследователи доказали, что большинство изученных групп взаимодействуют друг с другом. Они могут использовать одинаковые инструменты и даже делить роли в операциях против российских компаний: кто-то отвечает за доступ, другие — за закрепление и нанесение ущерба.

От разрозненных действий к коллаборациям и публичности. После 2022 года число кибергрупп, атакующих Россию, резко выросло — в основном за счёт хактивистов. К настоящему времени злоумышленники стали более опытными и организованными. Они общаются, обмениваются знаниями и инструментами для достижения общей цели и стремятся к публичности. Угроза продолжает нарастать, поскольку об атаках на российские организации регулярно заявляют всё новые группы. Только в 2025 году, по данным «Лаборатории Касперского», их появилось как минимум семь.

Кого атакуют. Хотя под ударом разные отрасли, в топ-3 целей входят госсектор, промышленность и телеком. Большинство изученных кибергрупп атакуют именно их. При этом злоумышленников одинаково интересуют и крупный бизнес, и небольшие предприятия.

Инструменты Red Team «в дикой природе». За последние годы группы стали более технически подкованными. Инструменты, которые ранее использовались крайне редко, были характерны только для подразделений Red Team либо существовали лишь «на бумаге», всё чаще встречаются в реальных инцидентах. Это может говорить о том, что злоумышленники изучают не только открытые источники, но и профессиональные исследования, экспериментируют и адаптируют их под нужные цели.

«По нашим данным, с 2022 года Россия является самой атакуемой страной в киберпространстве. Ключевой угрозой для отечественных организаций остаётся хактивизм: растёт число таких групп, постоянно повышается их технический уровень. Важно понимать, что методы, которые используют одни злоумышленники, рано или поздно берут на заметку другие, — комментирует Никита Назаров, руководитель отдела расширенного исследования угроз „Лаборатории Касперского“. — Наш новый отчёт — это вклад в глобальную кибербезопасность. С его помощью ИБ-специалисты смогут быть на шаг впереди угрозы, которая приобрела системный характер в России и других регионах».

Полная версия отчёта «Записки цифрового ревизора: три кластера угроз в киберпространстве» доступна по ссылке.

Для защиты от этой угрозы «Лаборатория Касперского» рекомендует организациям:

• предоставлять SOC-командам свежую информацию о новейших тактиках, техниках и процедурах злоумышленников (TTPs). Комплекс Kaspersky Threat Intelligence — единая точка доступа ко всем данным о киберугрозах, накопленных экспертами «Лаборатории Касперского» более чем за 25 лет;
• использовать надёжное защитное решение от вендора, эффективность технологий которого подтверждается независимыми тестами;
• применять комплексное решение для защиты, например Kaspersky Symphony XDR. Это платформа многоуровневой кибербезопасности, которая объединяет возможности централизованного мониторинга и анализа информации, продвинутого обнаружения угроз и реагирования на них, а также инструменты исследования событий безопасности. Решение подходит для среднего и крупного бизнеса любой отрасли;
• использовать межсетевой экран нового поколения, например Kaspersky NGFW. Хактивисты нередко применяют средства туннелирования трафика, такие как ngrok, Chisel, gTunnel, localtonet, чтобы обойти традиционные решения информационной безопасности. Kaspersky NGFW способен обнаруживать и блокировать такой трафик, а также защищать от других сложных и актуальных угроз, с которыми сталкиваются именно российские организации;
• регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием фишинга и других методов социальной инженерии, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform.

* По данным «Лаборатории Касперского».

** АРТ-атака (Advanced Persistent Threat) — целевая продолжительная атака повышенной сложности.