Добавить в корзинуПозвонить
Найти в Дзене

Химия не по учебнику: почему хакеры атакуют малый бизнес

В течение 2025 года на промышленный сектор приходилось в среднем от 5% до 6% всех зафиксированных кибератак. Однако в динамике первого полугодия 2026 года наблюдается двукратный рост данного показателя, который достиг 11%. Эти данные были получены и проанализированы экспертами подразделения BI.ZONE Threat Intelligence, что свидетельствует о значительном обострении киберугроз, направленных на критически важную инфраструктуру. Наряду с количественным ростом атак произошла и качественная трансформация мотивации злоумышленников. Если в предшествующие периоды доминирующим драйвером противоправной активности выступал шпионаж (на долю которого приходилось 47% инцидентов), то в настоящее время аналогичный удельный вес — 47% — занимают атаки, преследующие цель прямого извлечения финансовой выгоды. Данный сдвиг парадигмы указывает на коммерциализацию киберпреступности в промышленной сфере. Яркой иллюстрацией новой тактики финансово мотивированных группировок является деятельность кластера, извес

В течение 2025 года на промышленный сектор приходилось в среднем от 5% до 6% всех зафиксированных кибератак. Однако в динамике первого полугодия 2026 года наблюдается двукратный рост данного показателя, который достиг 11%. Эти данные были получены и проанализированы экспертами подразделения BI.ZONE Threat Intelligence, что свидетельствует о значительном обострении киберугроз, направленных на критически важную инфраструктуру.

Наряду с количественным ростом атак произошла и качественная трансформация мотивации злоумышленников. Если в предшествующие периоды доминирующим драйвером противоправной активности выступал шпионаж (на долю которого приходилось 47% инцидентов), то в настоящее время аналогичный удельный вес — 47% — занимают атаки, преследующие цель прямого извлечения финансовой выгоды. Данный сдвиг парадигмы указывает на коммерциализацию киберпреступности в промышленной сфере.

Яркой иллюстрацией новой тактики финансово мотивированных группировок является деятельность кластера, известного как Clubfoot Wolf. В мае-июне 2026 года эта группа провела серию целенаправленных атак на предприятия, преимущественно относящиеся к химической промышленности. Анализ выборки целей позволяет сделать вывод, что злоумышленники сознательно избегали атак на крупные корпорации с высоким уровнем зрелости систем информационной безопасности. Вместо этого они сфокусировались на множестве небольших организаций, чья инфраструктура характеризуется более низким уровнем защищённости, что повышает вероятность успешного проникновения.

Как пояснил руководитель BI.ZONE Threat Intelligence Олег Скулкин, для доставки вредоносного ПО группировка использовала методы социальной инженерии. Злоумышленники маскировали фишинговые электронные письма под стандартные бизнес-коммуникации — запросы коммерческих предложений или счета на оплату. Для повышения доверия получателя в тему письма добавлялась пометка «Fwd:» (переслано), создающая иллюзию продолжения предыдущего диалога. Вредоносная нагрузка была упакована в ZIP-архив, содержащий легитимное на первый взгляд программное обеспечение для удалённого администрирования NetSupport Manager. Использование легальных инструментов позволяет атакующим выполнять произвольные команды на скомпрометированном узле, одновременно снижая вероятность обнаружения атаки традиционными средствами защиты. Для сокрытия конечных адресов вредоносной инфраструктуры и затруднения сетевого анализа активно применялись сервисы сокращения ссылок.

Дополнительным подтверждением растущего коммерческого интереса к промышленному сектору служит деятельность группировки Wrecking Hyena. В июне 2026 года её участники осуществляли продажу специализированного инструментария для проведения атак на промышленную инфраструктуру. В своём Telegram-канале за 500 долларов США они предлагали обновлённую версию фреймворка, автоматизирующего полный жизненный цикл кибератаки: от начальной разведки и сканирования сети до эксфильтрации данных и их хранения. Данный инструмент обладал широким функционалом, включая анализ уязвимостей, эксплуатацию промышленных протоколов, проведение DDoS-атак и компрометацию каналов удалённого доступа. Примечательно, что изначально участники Wrecking Hyena позиционировали себя как хактивистов, декларируя исключительно идеологическую мотивацию своих действий, однако их последующая коммерческая деятельность опровергает эти первоначальные заявления.