Новость
«Лаборатория Касперского» представила первое всестороннее исследование активности 14 кибергрупп, наиболее активно атакующих организации в России. Анализ, проведенный командой Kaspersky Cyber Threat Intelligence, описывает техники, тактики и процедуры этих групп, а также подтверждает наличие взаимодействия между ними.
Специалисты разделили кибергруппы на три кластера по мотивации и инструментарию. Хактивисты, действующие по идеологическим соображениям и нацеленные на разрушение инфраструктуры, включают TWELVE, BlackJack, Head Mare, C.A.S и Crypt Ghouls. APT-группы, ориентированные на кибершпионаж, объединяют Awaken Likho, Angry Likho, GOFFEE, Cloud Atlas, Librarian Likho, Mythic Likho и XDSpy. В гибридный кластер вошли BO TEAM и Cyberpartisans — злоумышленники с уникальным «почерком».
Исследование показало, что большинство групп взаимодействуют друг с другом, используя одинаковые инструменты и разделяя роли в операциях: одни получают доступ, другие закрепляются и наносят ущерб. С 2022 года количество атакующих организаций в России резко выросло, при этом группы стали более опытными, организованными и стремящимися к публичности. Только в 2025 году, по данным «Лаборатории Касперского», появилось как минимум семь новых групп.
Основными целями атак остаются госсектор, промышленность и телеком, однако злоумышленники интересуются как крупным бизнесом, так и малыми предприятиями. По данным экспертов, группы все чаще используют сложные инструменты Red Team, ранее характерные только для профессиональных подразделений или исследовательских материалов, что указывает на адаптацию и эксперименты с новыми методами.
«По нашим данным, с 2022 года Россия является самой атакуемой страной в киберпространстве. Ключевой угрозой остается хактивизм: растет число групп и повышается их технический уровень. Методы одних злоумышленников рано или поздно берут на заметку другие», — отметил руководитель отдела расширенного исследования угроз «Лаборатории Касперского» Никита Назаров.
Для защиты организаций компания рекомендует обновлять данные SOC-команд о новых тактиках и инструментарии (TTPs), использовать проверенные защитные решения, применять комплексные системы безопасности, межсетевые экраны нового поколения и регулярно обучать сотрудников методам предотвращения фишинга и социальной инженерии.