Специалисты «Лаборатории Касперского» проанализировали деятельность 14 наиболее активных кибергрупп, атакующих российские организации. Исследование впервые детально описывает их тактики, инструменты и взаимные связи.
Команда Kaspersky Cyber Threat Intelligence провела технический анализ активности 14 наиболее активных кибергрупп, атакующих организации в России. Среди них — хактивисты, появившиеся в отечественном ландшафте угроз после 2022 года и публично называющие себя проукраинскими. Это первое всеобъемлющее исследование, в котором описаны их техники, тактики и процедуры, а также подтверждены связи между группами.
Специалисты объединили группы в три кластера по мотивам и инструментарию. Хактивисты действуют по идеологическим соображениям и нацелены на разрушение инфраструктуры. К ним относятся TWELVE, BlackJack, Head Mare, C.A.S, Crypt Ghouls. APT-группы проводят сложные целевые кампании для кибершпионажа: Awaken Likho, Angry Likho, GOFFEE, Cloud Atlas, Librarian Likho, Mythic Likho, XDSpy. В гибридный кластер вошли злоумышленники с уникальным почерком — BO TEAM и Cyberpartisans.
Исследователи установили, что большинство групп взаимодействуют друг с другом, используют общие инструменты и распределяют роли в операциях. После 2022 года число кибергрупп, атакующих Россию, резко выросло, преимущественно за счет хактивистов. Они стали более опытными, организованными и публичными, обмениваются знаниями и инструментами. Только в 2025 году появилось как минимум семь новых групп.
Основными целями атак являются госсектор, промышленность и телекоммуникации. Злоумышленники интересуются как крупным бизнесом, так и небольшими предприятиями. Группы стали более технически подкованными. Это свидетельствует о том, что злоумышленники изучают профессиональные исследования и адаптируют их под свои цели.
По данным «Лаборатории Касперского», с 2022 года Россия является самой атакуемой страной в киберпространстве.
«По нашим данным, с 2022 года Россия является самой атакуемой страной в киберпространстве. Ключевой угрозой для отечественных организаций остается хактивизм: растет число таких групп, постоянно повышается их технический уровень. Важно понимать, что методы, которые используют одни злоумышленники, рано или поздно берут на заметку другие.
Никита Назаров, руководитель отдела расширенного исследования угроз «Лаборатории Касперского»
Для защиты организациям рекомендуется предоставлять SOC-командам актуальную информацию о тактиках злоумышленников, использовать надежные защитные решения с подтвержденной эффективностью.