Хактивисты сменили идеологию на деньги и атаковали госучреждения в новых странах

По данным отчёта «Лаборатории Касперского», группы хактивистов, ранее действовавшие преимущественно против организаций в РФ, сменили стратегию и расширили географию атак на Казахстан, ОАЭ, Сирию и Египет. Основной мотивацией теперь является не идеология, а финансовая выгода, что привело к росту угроз для государственных, медицинских и авиационных учреждений в новых регионах. Эксперты фиксируют слияние усилий нескольких группировок, включая 4BID, «Хакерский кiт», C.A.S и Goffee, что повышает сложность и масштаб киберинцидентов.

Смена вектора и новые цели атак

Группировки, ранее сосредоточенные на идеологически мотивированных кампаниях в одном регионе, перешли к коммерчески ориентированным операциям в нескольких странах одновременно. В фокусе злоумышленников оказались инфраструктурные объекты, ранее не входившие в их приоритетный список.

• Новые регионы риска: Казахстан, ОАЭ, Сирия, Египет.
• Целевые отрасли: Государственные учреждения, медицинские организации, авиационный сектор.
• Характер действий: Атаки носят финансово мотивированный характер, что отличает их от предыдущих идеологических кампаний.

Важный нюанс: Смена географии атак указывает на то, что организации в любой точке мира могут стать целью, если злоумышленники видят в них экономическую выгоду, независимо от политического контекста.

Технологический арсенал и тактика

Злоумышленники активно модернизируют свой инструментарий, дорабатывая старые решения и создавая новые вредоносные программы. Атаки часто начинаются с эксплуатации уязвимостей в почтовом сервере Microsoft Exchange, после чего в систему внедряются специализированные инструменты.

Ключевые элементы используемого ПО:

• Blackout Locker: Обновлённая версия программы-вымогателя с функцией блокировки экрана компьютера жертвы.
• BlackSalt: Ранее неизвестный бэкдор, обнаруженный в ходе расследования.
• ClearWater: Шифровальщик, связанный с активностью групп «Хакерский кiт» и C.A.S.
• Инструменты двойного назначения: Легитимное ПО для удалённого администрирования, сканирования сети и управления ИТ-инфраструктурой, используемое для обхода защитных мер.

Стоит учесть: Использование легитимного ПО для удалённого управления позволяет злоумышленникам маскировать вредоносный трафик под обычную рабочую деятельность, что усложняет обнаружение атак традиционными средствами.

Риски для бизнеса и меры защиты

Расширение географии атак и смена мотивации требуют от организаций пересмотра подходов к мониторингу угроз. Эксперты отмечают, что для защиты инфраструктуры недостаточно реагировать только на локальные угрозы; необходимо отслеживать активность групп, атакующих конкретные отрасли в других регионах.

Рекомендуемые действия для минимизации рисков:

• Обновление информации для SOC: Предоставление командам безопасности актуальных данных о тактиках, техниках и процедурах (TTPs) злоумышленников.
• Внедрение комплексных решений: Использование платформ многоуровневой кибербезопасности (XDR) для централизованного мониторинга и анализа событий.
• Контроль сетевого трафика: Применение межсетевых экранов нового поколения (NGFW) для обнаружения и блокировки туннелирования трафика.
• Регулярное обновление ПО: Своевременное устранение уязвимостей на всех устройствах для предотвращения проникновения во внутреннюю сеть.

На фоне этого: Компании, игнорирующие глобальные тренды в кибербезопасности, рискуют столкнуться с атаками, разработанными на основе опыта, полученного злоумышленниками в других странах.

Сигнал для рынка

Наблюдаемая тенденция свидетельствует о глобализации киберпреступности, где границы между идеологическими и финансовыми мотивами стираются. Для российского бизнеса это означает, что методы атак, отработанные на зарубежных объектах, могут быть быстро адаптированы и применены внутри страны. Рост сложности инструментов и координация действий между разными группировками требуют от предприятий повышения зрелости собственных систем защиты и готовности к реагированию на инциденты любой сложности.