Названы три самые опасные хакерские группировки
На первом месте международная Head Mare, она впервые появилась в 2023-м, ее цель — организации из России и Белоруссии. В январе этого года на ее долю пришлось около 15% всех атак с вымогательством. На втором месте LokiLocker, она также появилась в 2023 году, в январе 2025-го они ответственны примерно за 10% атак. Точное происхождение группировки неизвестно, предположительно, она включает в себя хакеров из Ирана и стран Восточной Европы: Польши, Чехии и Украины.
На долю Babuk2, которые занимают третью позицию, пришлось 8% атак на российские компании. Хакерская группировка действовала в 2020–2021 годах, считается, что в 2025-м были созданы их подражатели. Включает в себя русскоговорящих и англоговорящих хакеров, вероятно, изначально она сформировалась в РФ.
В компании рассказали «Известиям» о недавнем случае атаки Head Mare на одно из предприятий тяжелой промышленности. Атака была организована через уязвимости в маршрутизаторах, которые использовались в информационной инфраструктуре организации. Вредоносное ПО находилось там, предположительно, на протяжении трех месяцев. В результате хакеры смогли зашифровать часть баз данных, включая информацию о планируемых отгрузках и их объемах. Серьезных последствий удалось избежать за счет своевременного привлечения специалистов сервисной службы ИБ и наличия резервных копий. Выкуп, который требовали злоумышленники, составлял около 900 тыс. рублей.
Специалисты наблюдают тенденцию объединения группировок хакеров-вымогателей и отдельных хактивистов для осуществления атак. Так, в январе количество кибератак увеличилось на 80% по сравнению с аналогичным периодом 2024-го, что связано с распространением так называемых RaaS-платформ, позволяющих злоумышленникам легко получать вредоносное ПО. RaaS — вымогательство как услуга — один из самых популярных сервисов, предоставляемых программистами-правонарушителями, рассказали специалисты по кибербезопасности.
— Head Mare атакует многих: и концерн «Калашников», и РЖД, и белорусские интеграторы по информационной безопасности. При этом множество подобных группировок проправительственные, это значит, что они «сидят» на зарплате у наших недругов и атакуют не самых уязвимых, но тех, взлом которых принесет максимальный экономический и информационный ущерб для России, — добавил эксперт.
С этим согласен руководитель департамента информационно-аналитических исследований компании T. Hunter Игорь Бедеров.
— Остановка завода может стоить миллионы рублей в час, что делает промышленные компании более сговорчивыми при выплате выкупа. При этом внедрение автоматизации опережает обновление систем безопасности. Например, устаревшие системы информационной безопасности на заводах становятся легкой мишенью для киберпреступников. Ну и часть атак, вероятно, спонсировалась государствами, для которых промышленные объекты относятся к наиболее значимым целям, — уточнил он.
По данным Игоря Бедерова, в случае со взломом компании «ПетербургГаз» в конце 2024 года хакеры внедрили вредоносный код в систему управления давлением, что вызвало аварийное отключение части сети. Последствия могли быть катастрофическими, но сработала ручная перезагрузка. В организации официально не подтверждали произошедшее.
Начиная с апреля 2023-го, по данным экспертов, LokiLocker атаковала не менее 62 компаний по всему миру, из них 21 — в России, рассказал Игорь Бедеров. В основном от действий группировки страдали компании малого и среднего бизнеса из сферы строительства, туризма, розничной торговли. Считается, что костяк LokiLocker составляют выходцы из стран Восточной Европы, среди которых есть Польша и Украина, добавил он.
Эксперт отметил, что прямых доказательств формального альянса или координированных действий между группировками Babuk2, Head Mare и LokiLocker на начало 2025 года нет. Однако косвенные признаки и аналитические данные позволяют говорить о возможных пересечениях в методах, инфраструктуре или спонсорах.
Ранее также стало известно, что утекшие из российских компаний данные продаются менее чем за $500.
Читать статью в полной версии «РБК»
