Изображение: recraft
RED Security, открытая экосистема ИБ-решений и экспертизы для комплексной защиты бизнеса, проанализировала итоги проектов по расследованию целенаправленных атак (Advanced Persistent Threat, APT). Специалисты центра мониторинга и реагирования на киберугрозы RED Security SOC фиксируют тенденцию к переходу политически мотивированных хакерских группировок от конкуренции к кооперации: атакующие все чаще объединяются для проведения масштабных целенаправленных атак на крупнейшие российские организации.
Данные аналитиков RED Security SOC свидетельствуют о том, что хактивистские группировки, движимые политическими мотивами, переходят от разрозненных действий к скоординированному взаимодействию. Доля таких коллаборативных атак, по данным исследователей, достигла 12%, что кратно превышает показатели предыдущего года и свидетельствует о формировании устойчивой модели взаимодействия злоумышленников.
В 2025 году эксперты RED Security SOC фиксировали совместные кампании хакерских группировок GOFFEE, Cyberpartisans-BY и других киберпреступников. Тренд подтверждают публичные кейсы коллаборативных кибератак, а также исследования российских ИБ-компаний, в которых указывается, что такие группировки, как Silent Crow, Cyberpartisans-BY, Lifting Zmyi или excobalt, действовали сообща в ходе атак на те или иные российские структуры.
Расследования показывают, что в эпицентре данной угрозы находятся организации государственного сектора и объекты критической информационной инфраструктуры (КИИ), в особенности промышленность, финансы и энергетика. В рамках данного подхода атаки часто выстраиваются по принципу распределенной цепочки. Одна группировка специализируется на первоначальном взломе и закреплении в инфраструктуре жертвы. После этого доступ к системе или похищенные данные могут быть переданы или проданы другим группировкам, которые проводят следующие этапы атаки: дестабилизацию работы, уничтожение или шифрование данных, масштабную утечку информации. Такой подход позволяет каждой группе сосредоточиться на своей «компетенции», повышая общую эффективность и скрытность кампании, а также усложняя атрибуцию.
«Текущий тренд можно сравнить с этапом, когда сфера киберпреступности перешла от подхода «одна группировка – одно вредоносное ПО» к практике Ransomware-as-a-Service (RaaS), когда разрабатывали вирус одни люди, а применяли – уже другие, – комментирует Никита Полосухин, ведущий аналитик центра мониторинга и реагирования на кибератаки RED Security SOC. – Сейчас мы видим, как формируется целая экосистема: одни выступают в роли разведчиков, другие – как штурмовики, наносящие финальный удар. Если в один момент времени в инфраструктуре присутствует группировка, которая ориентирована только на шпионаж, в любой момент ее могут сменить появившиеся злоумышленники, нацеленные на вымогательство или просто деструктивную активность. Это вынуждает бизнес защищаться от цепочки взаимосвязанных, но разнесенных по времени атак, где провал на любом этапе может привести к миллионным убыткам, репутационному кризису и простою критических процессов».
Аналитики RED Security SOC подчеркивают, что объединение усилий атакующих требует от бизнеса усиления мер кибербезопасности. В этой связи критически важными становятся непрерывный мониторинг ИТ-инфраструктуры на предмет аномальной активности и наличие глубокой экспертизы в области расследования инцидентов. RED Security рекомендует компаниям из всех секторов, особенно ритейла, логистики, промышленности и финансов, провести аудит на предмет выявления компрометации инфраструктуры и скрытого присутствия в ней злоумышленников (Compromise Assessment). Ключевыми шагами должны стать внедрение решений для детектирования сложных атак (EDR/XDR), журналирование событий информационной безопасности, регулярное проведение аудитов безопасности и организация круглосуточного мониторинга и реагирования на инциденты – с привлечением внешнего центра мониторинга и реагирования на кибератаки либо путем создания собственного центра компетенций.
Оригинал публикации на сайте CISOCLUB: "RED Security SOC: политически мотивированные хакерские группировки объединяются для атак на российский бизнес".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.