В киберполку прибыло

Эксперты по кибербезопасности отмечают рост числа кибергруппировок, атакующих Россию. Только в этом году оно увеличилось более чем на 20%. Развитию криминальных IT-группировок способствует активная продажа инструментов хакеров на теневом рынке, которая в том числе снижает порог выхода на этот рынок. При этом монетизация кибератак, например, через вымогательство, стала наиболее значимой целью, хотя хакеры продолжают объединяться по политическим мотивам.

Выйти из полноэкранного режима

Развернуть на весь экран

“Ъ” ознакомился с данными компаний в области кибербезопасности о динамике числа хакерских группировок, целями которых является в первую очередь российская IT-инфраструктура. Так, по оценке BI.ZONE, в этом году количество таких группировок увеличилось более чем на 20% год к году. Подавляющее большинство объединений (76%) имеет финансовую мотивацию, и лишь небольшая часть связана с политическими движениями (9%) и шпионажем (15%). Однако, уточняют в BI.ZONE, часть групп, состоящая из «хактивистов» (добровольных участников кибератак), теперь преследует не только политические, но и финансовые цели.

В 2023 году, отмечают в Ideco, количество группировок выросло на 33% год к году. В 2024 году уже выявлено как минимум три новых крупных объединения: Lazy Koala, Muliaka и M0r0k.

В F.A.C.C.T. (бывшая Group IB) подтверждают тренд на увеличение числа хакерских группировок, но оценивают его в 25% за весь 2023 год. По данным компании, за большинством DDoS-атак (атака на сервер по модели «отказ в обслуживании») и публикацией украденных баз российских структур в 2023 году стояли «проукраинские "хактивисты"». В целом, по данным F.A.C.C.T., в 2023 году РФ и страны СНГ атаковали 14 «прогосударственных хакерских групп», целями стали госучреждения, организации критической информационной инфраструктуры (КИИ) и предприятия ОПК.

«Росту числа группировок способствует доступность коммерческого вредоносного программного обеспечения (ПО), а также широкое распространение инструментов c открытым исходным кодом, которые позволяют реализовывать атаки на организации даже неквалифицированным хакерам»,— полагает руководитель BI.ZONE Threat Intelligence Олег Скулкин.

Директор по стратегическим альянсам и взаимодействию с органами государственной власти ГК «Гарда» Павел Кузнецов добавляет, что именно распространение хакерами вредоносных инструментов сейчас мешает определить принадлежность злоумышленников к той или иной группировке.

По отдельным признакам, уточняет эксперт, расследование может с высокой долей вероятности указать на конкретную группу, которая применяет сложные инструменты и алгоритмы действий, однако использование одних инструментов разными группами эту вероятность снижает.

С начала конфликта на Украине российскую IT-инфраструктуру преимущественно атаковали именно политически мотивированные группировки, состоящие из «хактивистов», в пиковые моменты рост их атак с использованием вредоносного трафика достигал 200% (см. “Ъ” от 27 мая 2023 года). В целом, по данным МВД, в начале 2024 года тенденция роста числа IT-преступлений сохранилась: их количество увеличилось на 23,5% по сравнению с аналогичным периодом 2023 года, сообщали представители ведомства. Одним из крупных инцидентов стала атака на Агрокомплекс им. Н. И. Ткачева с использованием вируса-шифровальщика, объем требований хакеров достигал 500 млн руб. (см. “Ъ” от 10 апреля).

В F.A.C.C.T. отмечают, что, несмотря на развитие финансовой мотивации в дополнение к политической, хакерские группировки, атакующие Россию, сейчас «скорее имеют тенденцию к объединению, чем к конкуренции».

Снижение числа политически мотивированных групп свидетельствует об их слиянии, а не об исчезновении тех или иных сообществ, соглашается Олег Скулкин.

К концу 2024 года количество преступных объединений может вырасти минимум на 15%, до более 32, ожидают в Ideco. «В условиях острого геополитического конфликта активность "хактивистов" и профессиональных прогосударственных групп в ближайшее время не будет снижаться»,— соглашаются в F.A.C.C.T.

Приоритетной целью злоумышленников будет шпионаж, кража интеллектуальной собственности и получение доступа к данным бизнеса, говорят в F.A.C.C.T. В группе риска, уточняют эксперты, остаются госструктуры, предприятия военно-промышленного комплекса и научно-исследовательские организации. Геополитическая обстановка, добавляют в BI.ZONE, «продолжит оказывать значительное влияние на рост кибератак, вне зависимости от мотивации злоумышленников».

Татьяна Исакова