BO Team атакует промышленность и нефтегаз: риск остановки производств и утечки данных
Группировка BO Team в 2026 году переключилась с больниц на нефтегазовый сектор, сделав ставку на скрытый шпионаж вместо деструктивных атак. Слияние инструментов с группировкой Head Mare создает угрозу утечки коммерческой тайны и остановки производств для предприятий, где защита отстает от эволюции угроз.
Согласно отчету «Лаборатории Касперского», группировка BO Team в 2026 году перенаправила усилия с медицинских учреждений на промышленный и нефтегазовый секторы РФ. За первый квартал зафиксировано около 20 атак, что свидетельствует о росте интереса к критической инфраструктуре. Исследователи получили доступ к исходному коду бэкдора ZeronetKit, выявили новые инструменты и признаки координации с группировкой Head Mare. Смена целей указывает на переход от деструктивных акций к скрытому кибершпионажу, что повышает риски утечки данных и остановки производственных процессов.
Изменение тактики и целевых секторов
Злоумышленники адаптируют методы под конкретные отрасли, сохраняя использование целевого фишинга как основного вектора проникновения. Фокус сместился на предприятия, где остановка работы или утечка данных наносит максимальный экономический ущерб.
- Целевые отрасли: производство, нефтегазовый сектор, телекоммуникации.
- Используемые инструменты: бэкдоры BrockenDoor и ZeronetKit, новый инструмент ZeroSSH.
- Характер атак: переход от публичных деструктивных действий к скрытым операциям по сбору информации.
Анализ показывает, что инструменты группировки эволюционируют быстрее, чем обновляются стандартные средства защиты. Злоумышленники создают кастомные решения, что усложняет обнаружение вредоносной активности на ранних этапах.
Технические детали и кооперация угроз
Исследователи изучили архитектуру бэкдора ZeronetKit, что позволило понять логику управления зараженными системами. Особую тревогу вызывает выявленная кооперация с группировкой Head Mare. Пересечение инфраструктуры и инструментов указывает на разделение функций между атакующими.
Возможный сценарий взаимодействия:
- Head Mare обеспечивает начальный доступ через фишинговые рассылки.
- BO Team использует полученный доступ для внедрения бэкдоров и развития атаки.
Такая многоступенчатая схема повышает эффективность проникновения и затрудняет отслеживание источника угрозы.
Риски для бизнеса и меры реагирования
Для организаций, работающих в промышленности и энергетике, возрастает вероятность потери контроля над системами и утечки коммерческой тайны. Реакция рынка на новые угрозы требует пересмотра подходов к безопасности.
Для снижения рисков компаниям необходимо:
- Обеспечить отделы кибербезопасности доступом к актуальным данным о тактиках злоумышленников через сервисы Threat Intelligence.
- Внедрить комплексные решения для обнаружения и реагирования, например, Kaspersky Endpoint Detection and Response Expert или Kaspersky Symphony.
- Проводить регулярное обучение сотрудников цифровой грамотности с использованием специализированных платформ.
Эксперты отмечают, что текущие решения «Лаборатории Касперского» успешно детектируют активность группировки, включая сигнатуры Backdoor.Win64.BrockenDoor.sb и Trojan.Win64.ZeronetKit.gen. Своевременное обновление защитных политик становится ключевым фактором сохранения операционной непрерывности.
Источник: kaspersky.ru
