Записки цифрового ревизора: три кластера угроз в киберпространстве

Последние несколько лет мы публикуем подробные аналитические отчеты о наиболее актуальных, на наш взгляд, угрозах. В этом году мы рассмотрим особенности атак хактивистских и APT-группировок, позиционирующих себя как «проукраинские», которые нацелены на организации в России, Беларуси и некоторых других странах.

С начала 2022 года мы собрали и проанализировали большой массив данных о тактиках, техниках и процедурах (TTP) этих групп. Хотя их основные цели находятся в России, этого материала достаточно, чтобы говорить о новой волне угроз, которая приобрела массовый и системный характер не только в отдельно взятой стране, но и по всему миру.

Об отчете

Главная цель отчета — это техническое доказательство теории, выдвинутой нами на основе наших предыдущих исследований, что большинство описанных группировок активно взаимодействуют между собой и по факту формируют три крупных кластера угроз.

Отчет содержит:

• Актуальную на 2025 год библиотеку группировок, позиционирующих себя как «проукраинские», с указанием основных TTP и инструментов.
• Техническое описание наиболее характерных тактик, техник и процедур, а также инструментария этих группировок — для использования этих данных специалистами SOC, DFIR, CTI и Threat Hunting на практике.

О каких группах пойдет речь

Этот отчет содержит информацию об актуальных TTP хактивистских и APT-групп, активных на 2025 год. В отчет не вошли группы, возникшие уже в 2025 году, поскольку на исследование их активности у нас не было достаточного количества времени. Все группы мы разделили на три кластера на основе их TTP:

• Кластер I объединяет хактивистские и финансово-мотивированные группы, использующие схожие тактики, техники и инструменты. В него входят следующие группы:
• Twelve
• BlackJack
• Crypt Ghouls
• Head Mare
• C.A.S.
• К кластеру II мы отнесли APT-группы, которые отличаются своими TTP от хактивистов.
• Awaken Likho
• Angry Likho
• Mythic Likho
• Librarian Likho
• Cloud Atlas
• GOFFEE
• XDSpy
• В кластер III вошли хактивистские группы, за которыми мы не заметили признаков активного взаимодействия с другими описанными группами.
• Bo Team
• Cyberpartisans

Ландшафт киберугроз в России в 2025 году

В последние годы Россия сталкивается с беспрецедентным количеством кибератак. По нашим оценкам, начиная с февраля 2022 года и по сегодняшний день это самая атакуемая в киберпространстве страна мира. При этом целями становятся организации из самых разных отраслей.

Ключевой угрозой для российского бизнеса на сегодняшний день остается хактивизм, причем масштабы и сложность атак растут. В классическом понимании этот термин означает сочетание хакерства и активизма, когда атакующие используют свои навыки для достижения социальных или политических целей. В 2022 году на фоне геополитической напряженности возникло множество хактивистских групп, нацеленных на российские организации, и они активно развиваются. За прошедшие годы злоумышленники стали более опытными и организованными, они сотрудничают друг с другом, делятся знаниями и инструментами для достижения общих целей.

Кроме того, после 2022 года в российском ландшафте угроз появилось такое явление как группы двойного назначения. Мы неоднократно обращали внимание на связи хактивистов с финансово-мотивированными группами. Они используют одни и те же инструменты, техники и тактики и даже общие инфраструктуру и ресурсы. В зависимости от жертвы они могут преследовать различные цели: потребовать выкуп за зашифрованные данные, нанести непоправимый ущерб, слить украденные данные и предать их огласке в СМИ. Это указывает на принадлежность злоумышленников к одному кластеру со сложной организацией.

Помимо этого, в России продолжают действовать и «обычные» категории атакующих: группировки, занимающиеся кибершпионажем, и исключительно финансово-мотивированные злоумышленники также остаются заметной проблемой.

Рекомендации

Для защиты от описанных в отчете угроз эксперты «Лаборатории Касперского» рекомендуют:

• предоставлять SOC-командам доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников (TTP). В этом могут помочь потоки данных о киберугрозах от надежных поставщиков, например Kaspersky Threat Intelligence;
• применять комплексное решение для защиты, которое объединяет возможности централизованного мониторинга и анализа информации, продвинутого обнаружения угроз и реагирования на них, а также инструменты исследования событий безопасности. Среди решений «Лаборатории Касперского» такая функциональность есть у платформы Kaspersky Symphony XDR, которая подходит для среднего и крупного бизнеса любой отрасли;
• использовать межсетевой экран нового поколения, например Kaspersky NGFW. Хактивисты нередко применяют средства туннелирования трафика, такие как ngrok, Chisel, gTunnel, localtonet, чтобы обойти традиционные решения информационной безопасности. Kaspersky NGFW способен обнаруживать и блокировать такой трафик, а также защищать от других сложных и актуальных угроз, с которыми сталкиваются именно российские организации;
• защищать все компоненты современных и устаревших систем промышленной автоматизации специализированными решениями. Например, Kaspersky Industrial CyberSecurity (KICS) — это платформа класса XDR, способная обеспечить защиту критической инфраструктуры в энергетической, производственной, горнодобывающей и транспортной отраслях;
• регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием фишинга и других методов социальной инженерии, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform.

Полная версия отчета «Записки цифрового ревизора: три кластера угроз в киберпространстве»