Дослідники «Лабораторії Касперського» оприлюднили технічний огляд активності 14 угруповань, що найчастіше атакують організації в Росії, Білорусі та низці сусідніх країн. Вагому частку ландшафту загроз формують хактивістські об’єднання, що з’явилися після 2022 року і позиціонують себе як «проукраїнські». Автори класифікують учасників у три кластери за мотивацією та інструментарієм, що спрощує опис їхніх TTP (тактик, технік і процедур) та пріоритизацію ризиків для ІБ-команд.
Огляд і ключові висновки: більше координації, менше випадковості
Після 2022 року кількість груп, що цілять у російські організації, різко зросла, насамперед завдяки хактивістам. Дослідники фіксують посилену взаємодію між учасниками екосистеми: обмін інструментами, спільні кампанії та публічний супровід атак для посилення інформаційного ефекту. Такий рівень координації пришвидшує підготовку операцій і підвищує їх масштабованість за рахунок повторного використання перевірених TTP.
Три кластери загроз: мотивація + інструменти = профіль ризику
Запропоноване групування базується на домінуючих мотивах (ідеологічна активність чи прагматичні цілі) та типових засобах атак. Такий підхід допомагає розділити об’єкти захисту за пріоритетністю, узгодити моделі загроз із бізнес-процесами та підбирати релевантні заходи протидії для кожної категорії противників.
Тренди 2022–2025: технічна зрілість і реюз TTP
Спільні інструменти та розподіл ролей у ланцюгу атаки
Багато зафіксованих груп використовують схожі фреймворки та модулі, а також розподіляють ролі — від первинного доступу до закріплення й нанесення шкоди. На практиці це означає швидкі кампанії з єдиним набором експлойтів, бекдорів і засобів віддаленого доступу, що полегшує повторення успішних сценаріїв на нових цілях.
Red Team-підходи в реальних інцидентах
Експерти фіксують зсув у бік просунутих технік, які донедавна були переважно в арсеналі Red Team: стійкі механізми закріплення, прихований рух мережею (lateral movement), living-off-the-land із використанням легітимних адмінінструментів (наприклад, PowerShell, WMI, PsExec) у поєднанні з кастомними завантажувачами. Це свідчить про системне вивчення професійних публікацій і адаптацію методик до оперативних потреб.
Цілі атак: державний сектор, промисловість і телеком
Під ударами опиняються різні галузі, але стійко в топі — держсектор, промисловість і телеком. Розмір компанії не є визначальним: критичними є чутливі дані, позиція в ланцюгах постачання та вплив на інфраструктуру. За даними звіту, у 2025 році з’явилося щонайменше сім нових угруповань, що публічно заявляють про атаки на російські організації.
Контекст і оцінка ризиків: чому загрози масштабуються
З 2022 року Росія залишається однією з найатакованіших країн у кіберпросторі, а хактивізм — ключовим драйвером ризику. Важливий фактор — швидка дифузія прийомів: техніки, які показали ефективність в одній кампанії, оперативно підхоплюють інші актори, збільшуючи частоту повторних інцидентів. Такий висновок корелює з публічними оглядами
