Хактивисты стали совершать больше атак, но их мотивация становится неоднозначной

Хактивисты стали совершать больше атак, но их мотивация становится неоднозначной

Хактивистские группировки стоят за каждой пятой кибератакой на российские компании. При этом злоумышленники все чаще руководствуются и финансовой выгодой, а также активно используют новые инструменты
8 июля 2025 г.

Из всех кибератак, которым российские организации подверглись за первые 6 месяцев 2025 года, на долю хактивистов пришлось 20%. По сравнению с аналогичным периодом прошлого года этот показатель вырос: тогда он составлял 14%.

При этом сохраняется тренд на размывание мотивации, который наметился еще в 2023 году. Все больше кластеров, классифицируемых исследователями как хактивистские, требуют у своих жертв выкуп за расшифровку данных или восстановление доступа к инфраструктуре. Затем эти же злоумышленники публикуют в телеграм‑каналах или на теневых форумах сообщения об успешной атаке якобы из идеологических соображений. Еще ряд хактивистских кластеров сосредотачивается на шпионаже.

Атаки хактивистов могут представлять серьезную угрозу: с ними связаны 24% всех высококритичных киберинцидентов, зафиксированных в первом полугодии. В 2024 году этот показатель был еще выше и составил 30%. Отчасти это может быть связано с высоким уровнем кооперации в хактивистском сообществе, который позволяет группировкам объединять усилия для кибератак. Кроме того, некоторые кластеры активно экспериментируют с методами и инструментами, в том числе самописными.

В качестве примера можно привести недавнюю серию атак группировки Rainbow Hyena. Злоумышленники рассылали фишинговые письма с реальных почтовых адресов, принадлежащих ранее скомпрометированным компаниям. К письмам были приложены polyglot‑файлы, замаскированные под документацию. Такие файлы соответствуют одновременно нескольким форматам и ведут себя по‑разному в зависимости от того, в каком приложении открываются. Все это повышало шансы атакующих обойти почтовые фильтры.
Если пользователь открывал вложение, на устройство устанавливался бэкдор PhantomRemote. Это новый самописный инструмент, который позволяет злоумышленникам собирать информацию о скомпрометированной системе, загружать с их сервера другие исполняемые файлы, а также выполнять команды на устройстве жертвы.
Олег Скулкин
Руководитель BI.ZONE Threat Intelligence

Основными целями Rainbow Hyena в этот раз стали организации из сфер IT и здравоохранения. IT‑отрасль — лидер по числу хактивистских атак в первом полугодии 2025 года: на ее долю пришлось 25% всех случаев. В число наиболее атакуемых хактивистами также вошли телекоммуникационные компании и госсектор (18% и 11% атак соответственно).

Фишинговые рассылки — популярный вектор атаки на организации. Для защиты почты можно применять специализированные сервисы, фильтрующие нежелательные письма, например, BI.ZONE Mail Security. Решение сочетает ML‑технологии защиты почты от сложных атак, гибкое управление трафиком и высокую производительность. Также продукт включает расширенные способы интеграции с внешними системами и получает актуальные данные от портала киберразведки.

Чтобы защититься от атак злоумышленников, рекомендуется внедрять решения для защиты конечных точек от сложных угроз. Продукт BI.ZONE EDR позволит выявить атаку до наступления ущерба и оперативно отреагировать на угрозу в автоматическом режиме или с помощью команды кибербезопасности.