Дисклеймер: Материал носит исключительно ознакомительный характер и направлен на информирование организаций о современных киберугрозах и практиках тестирования на проникновение. Его цель — повышение осведомлённости и активности компаний в области информационной безопасности, развитие культуры киберустойчивости и повышение надёжности бизнес-процессов.
Если раньше хакер считался одиночкой с ноутбуком, то теперь — это участник сложной сетевой структуры, в которой переплетаются интересы бизнеса, политики и кибершпионажа. По данным Отчёта Code Red 2026 от Positive Technologies – «Актуальные киберугрозы для российских организаций», именно Россия в последние годы стала одной из самых интересных для анализа экосистем кибератак: разнообразие группировок, методов и целей здесь показывает, как трансформируется сама логика цифровых преступлений. Российские организации, от промышленных гигантов до сетевых ритейлеров, оказались под прицелом сразу нескольких классов атакующих — от классических вымогателей до кибершпионов и идеологических хактивистов. И в этом цифровом шахматном турнире каждая сторона разыгрывает свои партии с разными мотивами, но схожими инструментами.
Концептуальный блок: три класса противников
Современные угрозы можно разделить на три главных категории.
Первый класс — финансово мотивированные кибергруппировки. Их цель проста и цинична: деньги. Они распространяют программы-вымогатели, крадут персональные данные, ломают бизнес-процессы, чтобы потом продать ключ к их восстановлению.
Второй класс — государственно поддерживаемые кибершпионские структуры. Их интересует не прибыль, а влияние. Им нужны данные, схемы, технологии и стратегическая информация: энергетика, оборонка, телеком – всё, что может стать инструментом контроля и геополитического давления.
Третий класс – хактивисты. Они действуют из убеждений, а не ради выкупа. Часто им не нужны ни деньги, ни доступ — достаточно просто разрушить или показать уязвимость. Их атаки становятся особенно заметными в периоды общественных и политических напряжений. Но именно первый класс — финансово мотивированные группы — сегодня задаёт ритм всей киберугрозе, создавая волны атак, которые постепенно превращаются в системную проблему для экономики.
Финансовый мотив как двигатель атаки
Во второй половине 2024 года и первых трёх кварталах 2025-го на долю таких группировок пришлось 33% всех кибератак против российских компаний. Почти треть инцидентов — без отраслевой специфики: атаки совершаются там, где можно получить прямую выгоду. Наиболее часто страдают:
- промышленность (16%), где простои стоят миллионы;
- торговля (10%), где утечки клиентских данных превращаются в золото на теневых рынках;
- финансы (9%), где на кону стоит ликвидность и доверие.
Именно ритейл сегодня стал новой мишенью вымогателей: там концентрируются миллионы записей банковских карт, персональных данных и историй покупок. Любая утечка здесь превращается в готовый инструмент для последующих мошеннических схем.
Портреты игроков: от DarkGaboon до Proxy Trickster
DarkGaboon. Одна из самых загадочных группировок последних лет. Использует фишинговые письма с архивами, где вредоносные программы подписаны поддельным сертификатом Икс. 509 (X.509). Их любимая техника — использование омоглифов (символов, визуально похожих на латинские буквы) в названиях файлов. Арсенал включает трояны Revenge RAT и XWorm, а также шифровальщик LockBit Black 3,0.
OldGremlin. После двухлетнего затишья вернулась в 2024-м. Отличается ювелирной точностью атак и редким умением скрываться в сети месяцами. В одном из кейсов злоумышленники потребовали 500 млн рублей выкупа, используя технику Bring Your Own Vulnerable Driver (принеси свой уязвимый драйвер) для обхода защиты.
Proxy Trickster. Финансово мотивированные хакеры новой волны. Они не шифруют — они монетизируют. Встраивают майнеры и прокси-агенты в корпоративные сети, сдавая интернет-трафик «в аренду» сторонним сервисам. Согласно пилотным проектам системы PT NAD, следы майнеров обнаружены в сетях 82% российских организаций, а признаки proxy-активности — в 46%. Эта статистика демонстрирует: угроза стала частью повседневного корпоративного пейзажа.
Слияние мотиваций: деньги и идеология
После 2022 года всё чаще наблюдается гибридизация мотивов. Классические вымогатели начали использовать политические лозунги, а хактивисты — брать выкупы. В результате рождается новый тип нападающих — идеологически окрашенные вымогатели, где деньги и убеждения сливаются в единый инструмент давления. Так, группировка Black Owl атаковала производственную компанию, парализовав отгрузки и доступ клиентов. Требуемый выкуп – 50 тысяч долларов. По словам самих злоумышленников, компания заплатила, но ключи расшифрования так и не получила. Этот пример показывает, что для преступников прибыль и идеология стали двумя сторонами одной медали.
Почему бизнес сам подталкивает злоумышленников
Готовность организаций платить выкупы стала питательной средой для новых атак. С точки зрения хакеров, это гарантированный бизнес-цикл: успешная атака — выплата – повторение сценария. По данным аналитиков, каждая пятая жертва группировки Bearlyfy, появившейся в 2025 году, соглашается купить ключ расшифрования. И если в начале года размер выкупа составлял несколько тысяч долларов, то к середине — уже 80 тысяч евро. Причины понятны: простои обходятся дороже, чем выкуп; штрафы за утечку данных болезненны; а репутационные потери – непредсказуемы. Но тем самым компании фактически финансируют собственных атакующих, создавая устойчивый рынок вымогательства.
Почему платить нельзя
Даже если ключ прислали — он может быть нерабочим.
Даже если данные расшифрованы — копии уже проданы в дарквебе.
Даже если инцидент закрыт — компания становится «маркированной» жертвой для повторных атак.
Это не просто риски. Это цифровая экономика страха, где каждая уступка усиливает злоумышленников.
Россия как лаборатория цифровой устойчивости
Интересный парадокс: именно под давлением атак российские компании начали быстрее перестраивать процессы киберзащиты. Инциденты с LockBit Black и TinyCrypt стали катализатором внедрения систем мониторинга, автоматизированного реагирования и сетевой сегментации. Развитие отечественных решений в сфере обнаружения вторжений (IDS), управления уязвимостями (VMS) и анализа сетевого трафика (NTA) показывает, что защита перестаёт быть реакцией и превращается в архитектуру. Если раньше ИБ-отдел воспринимался как «тормоз» цифровых проектов, то сегодня — это ядро их зрелости. И в этом — главный вывод: под давлением внешних угроз российская ИТ-индустрия формирует не только новые технологии защиты, но и новую культуру цифрового суверенитета.
Материал подготовлен:
- доцентом Кафедры бизнес-информатики Финансового университета при Правительстве Российской Федерации, к.э.н. Зубовым Ярославом Олеговичем,
- и заместителем заведующего Кафедрой бизнес-информатики Финансового университета при Правительстве Российской Федерации Сергеевым Степаном Алексеевичем.
