Исследователи «Лаборатории Касперского» представили технический обзор активности 14 злоумышленных группировок, которые наиболее интенсивно атакуют организации в России, Беларуси и ряде соседних стран. Значимую долю ландшафта угроз составляют хактивисты, появившиеся после 2022 года и позиционирующие себя как «проукраинские». Эксперты сгруппировали участників в три кластера по мотивации и используемому инструментарию, что позволяет системно описывать их TTP (tactics, techniques and procedures) и оценивать риски для ИБ.
Кто атакует: три кластера угроз
По данным отчёта, после 2022 года число групп, атакующих российские организации, резко выросло, прежде всего за счёт хактивистских объединений. Исследователи отмечают, что участники экосистемы всё чаще координируют действия, обмениваются знаниями и инструментами и действуют с прицелом на публичность. Три кластера формируются на основании доминирующих мотивов (идеологические, иные прагматические цели) и набора средств атаки; этот подход помогает выстроить приоритеты защиты для разных отраслей.
Тренды 2022–2025: рост координации и технической зрелости
Обмен инструментами и ролями в операциях
Большинство изученных групп взаимодействуют между собой: они используют схожие фреймворки и даже делят роли в цепочке атаки — от первичного доступа до закрепления и нанесения ущерба. На практике это означает более быстрые и масштабные кампании с повторным использованием успешных TTP и одинаковых наборов вредоносных модулей, эксплойтов и средств удалённого доступа.
Red Team-практики в реальных атаках
Эксперты фиксируют рост технической подкованности: методы, ранее характерные для Red Team или встречавшиеся лишь в теоретических исследованиях, всё чаще применяются в «бою». Речь идёт о продвинутых техниках закрепления, скрытном перемещении по сети, злоупотреблении доверенными инструментами (living-off-the-land), комбинированном применении легитимных админ-инструментов и кастомных загрузчиков. Это косвенно указывает на то, что злоумышленники внимательно изучают профессиональные публикации, экспериментируют и адаптируют их под свои цели.
Цели атак: госсектор, промышленность, телеком
Хотя под ударом оказываются разные отрасли, в топ-3 целей стабильно входят государственный сектор, промышленность и телеком. Атакующие одинаково активно интересуются и крупными корпорациями, и малым/средним бизнесом — критичен не размер компании, а наличие данных, инфраструктуры или влияния на цепочки поставок. В 2025 году тенденция усилилась: по данным «Лаборатории Касперского», появилось как минимум семь новых группировок, публично заявляющих об атаках на российские организации.
Контекст и оценка рисков для российских компаний
С 2022 года Россия, по оценке «Лаборатории Касперского», остаётся одной из наиболее атакуемых стран в киберпространстве. Ключевой угрозой называют хактивизм — растёт как число групп, так и уровень их подготовки. Отдельный риск — «диффузия» методик: техники, однажды показавшие эффективность, быстро копируются другими участниками сцены, что повышает частоту повторных инцидентов и нагрузку на службы ИБ.
Почему это важно для ИБ-команд: практические шаги
С учётом обозначенных трендов организациям стоит актуализировать модели угроз и приоритеты защиты. Практические меры включают: 1) жёсткое управление первичным доступом (MFA повсеместно, контроль VPN и RDP, ограничение внешнего экспонирования); 2) сегментацию сети и минимальные привилегии; 3) усиленный мониторинг с EDR/XDR и телеметрией журналов; 4) Threat Intelligence с акцентом на кластеры угроз и их TTP; 5) отработку сценариев реагирования (tabletop-упражнения, проверка резервных копий и планов восстановления).
Никита Назаров, руководитель отдела расширенного исследования угроз «Лаборатории Касперского», подчёркивает: с 2022 года атаки на российские организации носят системный характер, а хактивизм остаётся главным драйвером риска. Новый отчёт призван помочь командам ИБ действовать на опережение — за счёт понимания мотивов противника, обмена инструментами и повторяемых TTP.
Ситуация требует дисциплины и прагматичного подхода: пересмотрите карту угроз, соотнесите её с вашими критическими процессами и закройте «быстрые победы» — MFA, сегментация, видимость и реагирование. Чем быстрее организации внедрят эти базовые элементы киберустойчивости, тем ниже будет эффект от расширяющегося арсенала хактивистов и других атакующих групп.
