Данные аналитиков RED Security SOC свидетельствуют о том, что хактивистские группировки, движимые политическими мотивами, переходят от разрозненных действий к скоординированному взаимодействию. Доля таких коллаборативных атак, по данным исследователей, достигла 12%, что кратно превышает показатели предыдущего года и свидетельствует о формировании устойчивой модели взаимодействия злоумышленников.
В 2025 году эксперты RED Security SOC фиксировали совместные кампании хакерских группировок GOFFEE, Cyberparisans-BY и других киберпреступников. Тренд подтверждают публичные кейсы коллаборативных кибератак, а также исследования российских ИБ-компаний в отношении деятельности таких группировок, как Silent Crow, Cyberpartisans-BY, Lifting Zmyi или excobalt заявляли, что действовали сообща в ходе атак на те или иные российские структуры,
Расследования показывают, что в эпицентре данной угрозы находятся организации государственного сектора и объекты критической информационной инфраструктуры (КИИ), в особенности промышленность, финансы и энергетика. В рамках данного подхода атаки часто выстраиваются по принципу распределенной цепочки. Одна группировка специализируется на первоначальном взломе и закреплении в инфраструктуре жертвы. После этого доступ к системе или похищенные данные могут быть переданы или проданы другим группировкам, которые проводят следующие этапы атаки: дестабилизацию работы, уничтожение или шифрование данных, масштабную утечку информации. Такой подход позволяет каждой группе сосредоточиться на своей «компетенции», повышая общую эффективность и скрытность кампании, а также усложняя атрибуцию.
«Текущий тренд можно сравнить с этапом, когда сфера киберпреступности перешла от подхода «одна группировка – одно вредоносное ПО» к практике Ransomware-as-a-Service (RaaS), когда разрабатывали вирус одни люди, а применяли – уже другие, – комментирует Никита Полосухин, ведущий аналитик центра мониторинга и реагирования на кибератаки RED Security SOC. – Сейчас мы видим, как формируется целая экосистема: одни выступают в роли разведчиков, другие – как штурмовики, наносящие финальный удар. Если в один момент времени в инфраструктуре присутствует группировка, которая ориентирована только на шпионаж, в любой момент ее могут сменить появиться злоумышленники, нацеленные на вымогательство или просто деструктивную активность. Это вынуждает бизнес защищаться от цепочки взаимосвязанных, но разнесенных по времени атак, где провал на любом этапе может привести к миллионным убыткам, репутационному кризису и простою критических процессов».
Аналитики RED Security SOC подчеркивают, что объединение усилий атакующих требует от бизнеса усиления мер кибербезопасности. В этой связи критически важными становятся непрерывный мониторинг ИТ-инфраструктуры на предмет аномальной активности и наличие глубокой экспертизы в области расследования инцидентов. RED Security рекомендует компаниям из всех секторов, особенно ритейла, логистики, промышленности и финансов, провести аудит на предмет выявления компрометации инфраструктуры и скрытого присутствия в ней злоумышленников (Compromise Assessment). Ключевыми шагами должны стать внедрение решений для детектирования сложных атак (EDR/XDR), журналирование событий информационной безопасности, регулярное проведение аудитов безопасности и организация круглосуточного мониторинга и реагирования на инциденты – с привлечением внешнего центра мониторинга и реагирования на кибератаки либо путем создания собственного центра компетенций.
