За первые полгода 2025 года хактивисты провели 20% всех кибератак на российские организации — на 6% больше, чем годом ранее. Они не только заявляют о политических мотивах, но и требуют выкуп, а также активно занимаются шпионажем.
Согласно исследованию BI.ZONE, 20% всех кибератак на российские организации за первые шесть месяцев 2025 года были совершены хактивистами. Это на 6% больше, чем за аналогичный период прошлого года, когда показатель составлял 14%. При этом сохраняется тренд на размывание мотивации, наметившийся еще в 2023 году. Все чаще хактивистские группировки требуют выкуп за расшифровку данных или восстановление доступа, а затем публикуют сообщения об атаках, маскируя их под идеологические акции. Некоторые кластеры также занимаются шпионажем.
Атаки хактивистов остаются серьезной угрозой: на них приходится 24% всех высококритичных инцидентов в первом полугодии 2025 года. В 2024 году этот показатель был еще выше — 30%. Эксперты связывают это с высокой степенью кооперации внутри сообщества, позволяющей объединять усилия для масштабных атак, а также с активным использованием самописных инструментов.
Примером стала недавняя кампания группировки Rainbow Hyena. Злоумышленники рассылали фишинговые письма с реальных скомпрометированных адресов, используя polyglot-файлы, маскирующиеся под документацию. При открытии таких файлов на устройство жертвы устанавливался бэкдор PhantomRemote.
«Это новый самописный инструмент, который позволяет злоумышленникам собирать информацию о скомпрометированной системе, загружать с их сервера другие исполняемые файлы, а также выполнять команды на устройстве жертвы».
Олег Скулкин, руководитель BI.ZONE Threat Intelligence
Основными целями хактивистов стали ИТ-компании, на которые пришлось 25% атак. Также под удар попали организации здравоохранения, телекоммуникационный сектор (18%) и госструктуры (11%). Группировка Rainbow Hyena в этом году особенно активно атаковала ИТ и медицинские учреждения.