В июле 2025 года пропалестинская хактивистская группа zerodayx1 объявила о запуске операции «Программа-вымогатель как услуга» (RaaS), что уже воспринимается экспертами как значительный сдвиг в характере её деятельности. Группа, ранее ориентировавшаяся в основном на идеологические акции, теперь сочетает активизм с методами, привычными для финансово мотивированных киберпреступников — от внедрения программ-вымогателей до эксфильтрации и продажи данных.
Краткая хронология и контекст
Движение zerodayx1 совпадает с общей тенденцией: на фоне обострения геополитической напряжённости, особенно в контексте израильско‑палестинского конфликта, часть хактивистских коллективов трансформируется в гибридные структуры. В этом процессе наблюдается влияние оперативных практик и альянсов, в том числе с пророссийскими акторами, что усиливает возможности координации и технической поддержки атак.
- Август 2024 — в публичных сообщениях zerodayx1 упоминала DoubleFace, что стало первым свидетельством интереса группы к методам вымогательства.
- Апрель 2025 — группа объявляла о планах начать собственные операции с программами-вымогателями.
- Июль 2025 — официальное объявление запуска RaaS и переход к более коммодифицированной модели атак.
Методы и операционные практики
По доступным данным, takтика zerodayx1 включает как традиционные для хактивизма инструменты, так и техники, характерные для рейдеров‑вымогателей:
- Ransomware (RaaS) — внедрение программ-вымогателей и коммерциализация их эксплуатации.
- Double extortion — вымогательство на основе кражи и последующей публикации конфиденциальных данных.
- DDoS и дефейс веб‑сайтов — услуги по атаке и порче публичных ресурсов.
- Взломы корпоративных почтовых ящиков с использованием украденных учетных данных; исходная версия вируса‑вымогателя, по сообщениям, была получена из скомпрометированной учётной записи электронной почты компании, базирующейся в Тель‑Авиве.
- Эксфильтрация и слив баз данных, учетных записей пользователей и других конфиденциальных материалов как через публичные каналы, так и через подпольные форумы.
- Координация и информационно‑пропагандистская деятельность через платформы X (ранее Twitter) и Telegram.
Цели и мотивация
Операции zerodayx1 демонстрируют выбор целей не только по критериям уязвимости, но и в соответствии с идеологическими установками: сообщается, что группа прицельно атакует организации в странах, которые открыто поддерживают Израиль. Вместе с тем коммерческая составляющая — доход от продажи доступа, шантажа и реализации утечек — становится важным элементом их модели.
Действия zerodayx1 показывают, что современные хактивистские коллективы всё чаще комбинируют политический посыл с криминальной экономикой — и это меняет характер угроз.
География и масштабы атак
Зафиксированные цели охватывают Европу, Ближний Восток и Северную Америку. В ряде случаев публикуемые утечки содержали учетные данные пользователей и бэкапы баз данных, а также внутреннюю корреспонденцию — материалы, пригодные как для публичного дискредитации, так и для дальнейшего шантажа.
Неопределённости и открытые вопросы
- Точный вариант внедрённого ransomware остаётся неизвестным — публично не подтверждён набор используемых семейств вредоносного ПО.
- Неясна степень технической связи zerodayx1 с другими криминальными группировками и роль внешних акторов в подготовке и поддержке кампаний.
- Масштаб коммерческой монетизации — какие части дохода идут на поддержание идеологической активности, а какие являются чисто криминальным извлечением прибыли — остаются не задокументированы в открытых источниках.
Последствия и прогноз
Коммерциализация операций хактивистов повышает риск для организаций любого размера: в условиях, когда атака может быть мотивирована и политически, и финансово, вероятность повторных компрометаций и двойного вымогательства растёт. Эксперты ожидают, что влияние таких групп, как zerodayx1, сохранится и, возможно, усилится по мере сохранения напряжённости в международной политике и появления новых акторов в среде хактивистов.
Рекомендации для организаций
Чтобы снизить риски, организациям рекомендуется:
- Внедрить многофакторную аутентификацию (MFA) на всех критичных сервисах и почтовых ящиках.
- Периодически проводить аудит учётных записей, мониторинг несанкционированного доступа и анализ утечек в даркнет‑форумах.
- Поддерживать актуальные бэкапы в офлайн‑хранилищах и отрабатывать планы восстановления после инцидентов.
- Развернуть EDR/NDR‑решения для раннего обнаружения эксфильтрации данных и подозрительной активности.
- Шерить информацию об инцидентах с отраслевой разведкой и участвовать в обмене IOC (Indicators of Compromise).
- Проводить обучение персонала по фишингу и защите почты, а также контролировать доступ поставщиков и подрядчиков.
В условиях, когда границы между хактивизмом и киберпреступностью стираются, организациям важно воспринимать угрозу как комплексную и действовать заблаговременно: технические меры, процессы реагирования и обмен разведданными остаются ключевыми элементами защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "zerodayx1 и RaaS: гибридный хактивизм, вымогательство и утечки".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.