Продолжая пользоваться сайтом, Вы соглашаетесь с условиями использования файлов cookies.

SOC
ИБ-сервисы по подписке
Мониторинг и реагирование на кибератаки

Интеграционные решения
Новости
События
Компания
Запросить консультацию
ГлавнаяНовостиRED Security SOC: политически мотивированные хакерские группировки объединяются для атак на российский бизнес

RED Security SOC: политически мотивированные хакерские группировки объединяются для атак на российский бизнес

RED Security, открытая экосистема ИБ-решений и экспертизы для комплексной защиты бизнеса, проанализировала итоги проектов по расследованию целенаправленных атак (Advanced Persistent Threat, APT). Специалисты центра мониторинга и реагирования на киберугрозы RED Security SOC фиксируют тенденцию к переходу политически мотивированных хакерских группировок от конкуренции к кооперации: атакующие все чаще объединяются для проведения масштабных целенаправленных атак на крупнейшие российские организации.

Данные аналитиков RED Security SOC свидетельствуют о том, что хактивистские группировки, движимые политическими мотивами, переходят от разрозненных действий к скоординированному взаимодействию. Доля таких коллаборативных атак, по данным исследователей, достигла 12%, что кратно превышает показатели предыдущего года и свидетельствует о формировании устойчивой модели взаимодействия злоумышленников.

В 2025 году эксперты RED Security SOC фиксировали совместные кампании хакерских группировок GOFFEE, Cyberparisans-BY и других киберпреступников. Тренд подтверждают публичные кейсы коллаборативных кибератак, а также исследования российских ИБ-компаний в отношении деятельности таких группировок, как Silent Crow, Cyberpartisans-BY, Lifting Zmyi или excobalt заявляли, что действовали сообща в ходе атак на те или иные российские структуры.

Расследования показывают, что в эпицентре данной угрозы находятся организации государственного сектора и объекты критической информационной инфраструктуры (КИИ), в особенности промышленность, финансы и энергетика. В рамках данного подхода атаки часто выстраиваются по принципу распределенной цепочки. Одна группировка специализируется на первоначальном взломе и закреплении в инфраструктуре жертвы. После этого доступ к системе или похищенные данные могут быть переданы или проданы другим группировкам, которые проводят следующие этапы атаки: дестабилизацию работы, уничтожение или шифрование данных, масштабную утечку информации. Такой подход позволяет каждой группе сосредоточиться на своей «компетенции», повышая общую эффективность и скрытность кампании, а также усложняя атрибуцию.

Текущий тренд можно сравнить с этапом, когда сфера киберпреступности перешла от подхода «одна группировка — одно вредоносное ПО» к практике Ransomware-as-a-Service (RaaS), когда разрабатывали вирус одни люди, а применяли — уже другие. Сейчас мы видим, как формируется целая экосистема: одни выступают в роли разведчиков, другие — как штурмовики, наносящие финальный удар. Если в один момент времени в инфраструктуре присутствует группировка, которая ориентирована только на шпионаж, в любой момент ее могут сменить появиться злоумышленники, нацеленные на вымогательство или просто деструктивную активность. Это вынуждает бизнес защищаться от цепочки взаимосвязанных, но разнесенных по времени атак, где провал на любом этапе может привести к миллионным убыткам, репутационному кризису и простою критических процессов

Никита Полосухин

Ведущий аналитик центра мониторинга и реагирования на кибератаки RED Security SOC

Аналитики RED Security SOC подчеркивают, что объединение усилий атакующих требует от бизнеса усиления мер кибербезопасности. В этой связи критически важными становятся непрерывный мониторинг ИТ-инфраструктуры на предмет аномальной активности и наличие глубокой экспертизы в области расследования инцидентов. RED Security рекомендует компаниям из всех секторов, особенно ритейла, логистики, промышленности и финансов, провести аудит на предмет выявления компрометации инфраструктуры и скрытого присутствия в ней злоумышленников (Compromise Assessment). Ключевыми шагами должны стать внедрение решений для детектирования сложных атак (EDR/XDR), журналирование событий информационной безопасности, регулярное проведение аудитов безопасности и организация круглосуточного мониторинга и реагирования на инциденты — с привлечением внешнего центра мониторинга и реагирования на кибератаки либо путем создания собственного центра компетенций.