С атаками хактивистов связано 30 процентов всех киберинцидентов в РФ

В 2024 году больше всего кибератак на объекты в Российской Федерации пришлось на государственный сектор (15%), финансовую отрасль (13%), а также на транспорт и логистику (по 11%). При этом злоумышленники стали чаще атаковать компании ради шпионажа и по идеологическим мотивам. Такие изменения во многом связаны со всплеском активности хактивистов.

Хактивизм (от англ. hacktivism - сочетание слов "хакер" и "активизм") - форма цифрового политического активизма, при которой компьютерные навыки (включая взлом, кибершпионаж, кибератаки) используются для продвижения социальных, политических, экологических или идеологических целей. Хактивисты часто действуют анонимно или в составе коллективов (наиболее известными из которых были Anonymous, LulzSec или WikiLeaks), а их действия направлены на привлечение внимания к проблемам, которые они считают важными или же нанесение ущерба своим политическим или идеологическим противникам.

В последнем исследовании Threat Zone 2025 эксперты отмечают следующие ключевые особенности киберкриминального ландшафта России.

Ретейл уступил госсектору первое место по числу кибератак. Если в 2023 году на него приходилось 15% всех кибератак и по этому показателю он опережал всех остальных, то в 2024 розничные торговые компании становились целью всего в 4% случаев, а компании из сферы электронной коммерции - в 9%.

Наибольшее количество атак (15%) в 2024 году пришлось на государственные организации. Годом ранее этот показатель составлял всего 9%. Финансовая отрасль заняла второе место в списке наиболее атакуемых (13% в 2024-м и 12% в 2023 году). На третьем месте, как и год назад, транспорт и логистика: в 2024 году на них пришлось 11% кибератак, а в 2023-м - 10%.

По словам эксперта Национального координационного центра по компьютерным инцидентам (НКЦКИ) Анастасии Ицковой в 2024 году Центр зафиксировал более 2 тыс. уведомлений о компьютерных инцидентах и почти 10 тыс. уведомлений о компьютерных атаках, что почти в полтора раза больше, чем в 2023 году.

"Одним из трендов 2024 года, по сравнению с 2023-м, стало увеличение количества атак, направленных на причинение максимального ущерба и добывание информации", - отмечает Ицкова.

В целом же доля атак, обусловленных финансовой мотивацией, снизилась с 76% до 67%. Так в 2024 году уже 21% атак совершался с целью шпионажа. В 2023-м этот показатель был ниже и составлял 15%. Примечательно, что некоторые группировки, занимающиеся шпионажем, больше не ограничиваются сбором и эксфильтрацией чувствительных данных, а совершают деструктивные действия в скомпрометированной IT-инфраструктуре. Такой почерк характерен для хактивистов, которые стремятся предать свои атаки максимально широкой огласке.

"Наблюдаемые изменения во многом связаны со всплеском активности хактивистов, пик которой пришелся на третий квартал 2024 года. В этот период каждая пятая кибератака была нацелена именно на госсектор", - говорит директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE Теймур Хеирхабаров.

По данным BI.ZONE в 2024 году с атаками хактивистов были связаны около 30% всех киберинцидентов в РФ. По сравнению с 2023 годом их количество выросло на 3%.

Помимо российского госсектора (16%) "любимыми" целями хактивистов стали телекоммуникации (20%) и IT-компании (13%).

Такой выбор связан с тем, что поскольку хактивисты совершают атаки по идеологическим мотивам, часто связанным с политическими и военными конфликтами, государственные организации являются для них одной из приоритетных целей.

Телекоммуникационные и IT-компании привлекательны для хактивистов тем, что обрабатывают большие объемы персональных данных, которые те стремятся украсть и опубликовать. Кроме того, к сфере телекоммуникаций относятся, к примеру, операторы крупных телеканалов. Хактивисты нередко стараются их взломать для того, чтобы выпустить в эфир свои заявления и тем самым придать атаке больший резонанс и широкую огласку.

Идентификация "коммерческих" хакеров часто бывает затруднена из-за их интернационального состава, а также в связи с тем, что злоумышленники используют разнообразные инструменты, чтобы скрыть или подделать свое местоположение. Арендовать сервера для управления вредоносным ПО и приобрести его можно в любой стране, так что атрибутирование по географическому признаку превращается в условность.

С кибергруппировками хактивистов ситуация обстоит проще. Для них часто важна публичность, поэтому они нередко манифестируют свои действия или прямо указывают на свою национальную, политическую или идеологическую принадлежность в названии. Еще одним маркером может служить то, что время начала действий то или иной группировки часто привязано к ключевым политическим, экономическим или социальным событиям.

Среди наиболее активных хактивистских групп, чья деятельность была направлена против объектов в РФ в исследовании Threat Zone 2025 отмечены: Head Mare, Phoenix Hyena, Phoenix Hyena, "Кибер-Партизаны" (Belarussian Cyber Partisan), KibOrg, Twelve, Blackjack, Ukrainian Hacker Group, UHG, BO Team, IT Army of Ukraine. В исследовании не анализируется географическая принадлежность и политическая ангажированность этих хактивистских группировок, однако, за исключением Belarussian Cyber Partisan, чья активность началась в 2020 году, остальные группировки проявили себя не раньше лета 2022 года. Что вместе с характерным неймингом и выбором целей (в основном это объекты в РФ) может указывать на их проукраинскую направленность.

Еще одним маркером может быть и то, что в качестве основной площадки (85%), используемой для коммуникации хактивистами, атакующими Россию стал мессенджер Telegram популярный на постсоветском пространстве. На его каналах злоумышленники освещают результаты совершенных атак, а в качестве доказательств публикуют скриншоты скомпрометированных систем и похищенные данные.