"Деловой Петербург" рассказывает, как устроен мировой рынок цифрового криминала и какие хакерские группировки на сегодняшний день являются его самыми опасными игроками.
Киберпреступность давно перестала быть подпольной экзотикой. Это полноценная индустрия, где pr–поддержка, переговорщики и бухгалтеры — часть процесса. Пока корпорации и государства строят цифровую экономику, её тёмный брат — экономика атак — превращается в рок–фестиваль, где каждая группировка — новый хедлайнер.
Как объясняет генеральный директор HiveTrace Евгений Кокуйкин, хакеры и компании по кибербезопасности зачастую развиваются внутри одной экосистемы, но с противоположными целями. Злоумышленники помимо прямой финансовой выгоды могут заниматься корпоративным шпионажем, саботажем или другими преступными действиями. При этом обе стороны инвестируют в исследования, автоматизацию и изучение уязвимостей, а часть используемых инструментов выглядит одинаково.
“
"Некоторые продукты и техники в области безопасности действительно напоминают инструменты, которые применяют хакеры, например сканеры уязвимостей. В крупных компаниях существуют сертифицированные отделы “белых хакеров” и пентестеров, которые выявляют уязвимости, проводя контролируемые атаки на системы. Основное различие заключается в этической стороне: хакеры совершают криминальные действия, а специалисты по безопасности действуют в правовом поле", — объясняет он.
Современные злоумышленники активно используют тактику АРТ (Advanced Persistent Threat) — целевые продолжительные атаки повышенной сложности. Потому и хакерские сообщества зачастую называют АРТ–группировками.
"Деловой Петербург" проконсультировался у ведущих специалистов по кибербезопасности и собрал список группировок, формирующих карту киберпреступности на 2025 год: от франшиз вымогателей до кибершпионажа под государственными флагами.
LockBit — ветераны с франшизой
Это самая громкая группировка вымогателей последнего десятилетия. В феврале 2024 года международная операция Cronos (при участии ФБР, Европола и Национального правоохранительного агентства Великобритании) разгромила их инфраструктуру, арестовала серверы и даже запустила официальный сайт банды как портал с утечками. Казалось — конец. Но через неделю LockBit объявил о возвращении.
“
"LockBit зарабатывает деньги по модели “шифровальщик как услуга” (Ransomware–as–a–Service, RaaS). Её суть в том, чтобы предоставить партнёрам доступ к программам–шифровальщикам и получить процент от выкупа за расшифровку данных. Известны случаи, когда группы вымогателей предлагают возможность проконсультироваться с юристом и получить совет, как усилить давление на жертву во время переговоров", — рассказал "ДП" руководитель команды аналитики Cyber Threat Intelligence в "Лаборатории Касперского" Кирилл Митрофанов.
Именно RaaS превратил кибервымогательство из ремесла одиночек во "франшизу" с процентами и бонусами. По словам Митрофанова, на этой модели вырос целый рынок вспомогательных инструментов. Прежде всего — "стилеров", программ, крадущих учётные данные и токены доступа.
Формат LockBit также позволил расширить географию: жертвами становились и госпитали в США, и заводы в Европе, и муниципалитеты в Австралии. По данным Минюста США, число атакованных организаций перевалило за 2 тыс. Его стиль — массовость и беспощадность. Переговоры ведутся жёстко, а публикация данных жертв идёт по графику, словно это официальные пресс–релизы.
RansomHub — новые карьеристы
Группировка появилась в 2023 году, но быстро ворвалась в топ. После временного падения LockBit именно они стали главными по числу атак. В 2024 году эксперты насчитали более 500 успешных взломов с их подписью — почти 10% всех зафиксированных случаев в мире.
В отличие от LockBit, RansomHub делают ставку на скорость. Их атаки разворачиваются за часы: заражение, шифровка, публикация. "Сервис" выстроен по принципу: чем быстрее ты обрушишь бизнес жертвы, тем быстрее получишь выкуп.
Кирилл Митрофанов отмечает, что за последние годы технический уровень кибергрупп в принципе продолжает расти.
“
"Они действуют более структурированно, применяют продвинутые методы и инструменты. Кроме того, усиливается взаимодействие между злоумышленниками. Они могут использовать общую инфраструктуру и инструменты, а также делить задачи в ходе совместных операций: кто–то отвечает за проникновение, другие — за закрепление и нанесение ущерба. Поэтому атрибутировать атаки к какой–то одной группе, вероятно, станет сложнее", — считает представитель "Касперского".
RansomHub известны тем, что любят работать с подрядчиками и аффилированными группами. По сути, это брокеры шантажа: предоставляют площадку, инструменты, а дальше партнёры сами доводят дело до конца. Такой подход делает их самыми гибкими игроками рынка.
Cl0p — панки с массовым поражением
Это группировка, которая действует не точечно, а залпами. Их крупнейший удар — атака через уязвимость в программе MOVEit в 2023 году. Под неё попали сотни компаний по всему миру, от американских корпораций до университетов в Европе.
Метод Cl0p прост: найти дыру в широко используемом продукте и зайти сразу к сотням клиентов. Ущерб от атаки MOVEit исчислялся миллиардами — не только из–за выкупов, но и из–за репутационных потерь.
Главное отличие Cl0p от конкурентов — у них нет интереса к переговорам. Они сразу публикуют списки жертв, показывая силу и создавая эффект паники. Это панки цифрового мира, которым шум важен не меньше, чем деньги. Но по оценкам экспертов, это уже не самое страшное…
“
"LockBit и Cl0p — это боль, но уже такая же привычная, как COVID, и так же ограниченная во времени. APT–группа в вашей сети 13 месяцев — это экзистенциальная угроза бизнесу, о которой вы даже не знаете. Здесь наш фокус как защитников в остановке компрометаций цепочек поставок. Это именно то, что делает APT–группы опасными для критической инфраструктуры. Если злоумышленник долго работает в сети, то его атаку нельзя исправить и украденные данные нельзя “расшифровать обратно”", — объясняет директор по развитию бизнеса "Гарда" Денис Батранков.
BlackCat (ALPHV) — технологичная новая волна
Эти ребята стали одной из первых группировок, полностью перешедших на язык Rust для написания шифровальщиков. Это дало им гибкость: такие вирусы трудно отследить и ещё сложнее нейтрализовать.
В 2024 году BlackCat парализовали крупнейшую сеть здравоохранения в США. Простои длились неделями, сотни операций были отменены, ущерб оценили в сотни миллионов долларов. Их подход — давление на больные точки, на критическую инфраструктуру, где нельзя терять время.
В отличие от Cl0p или LockBit, BlackCat активно используют пиар. Их сайт — это витрина, где данные жертв выкладываются красиво и с приправой из угроз. Они действуют как айтишники нового поколения: технологично, с холодной эффективностью и с брендом, узнаваемым по всему миру.
“
"Конфиденциальность таким образом превращается в “класс обслуживания”: крупные игроки платят за шифрование, сегментацию и страховку, малый и средний бизнес как может управляет риском. ИИ дорисовывает утекшие фрагменты по поведенческим паттернам, поэтому фокус смещается с “не утечь” на “обесценить украденное”: меньше хранить, сокращать срок жизни данных, жёстко ограничивать доступ", — подчёркивает независимый IT–эксперт Александр Димитриев.
Lazarus Group (КНДР) — налёты под госфлагом
Это, пожалуй, самая "государственная" группировка. По данным ООН и ФБР, она напрямую связана с Пхеньяном и работает на финансирование военной программы КНДР.
“
"Геополитика кибератак проста: государства задают правила, корпорации держат удары на критической инфраструктуре, частные группы работают как подрядчики с франшизами", — отмечает Александр Димитриев.
Её специализация — криптовалюты. В 2022 году Lazarus украла $620 млн с блокчейн–сети Ronin, в 2023–м — ещё $100 млн с Harmony Horizon Bridge. В феврале 2025–го она провернула крупнейший криптовалютный грабёж в истории, выведя около $1,5 млрд в Ethereum с биржи Bybit.
Lazarus действует системно. Там разрабатывают целые кампании: сначала внедрение через фишинг, закрепление в системе и только потом хищение активов. Её отличие — стратегическая цель. Это не частная нажива, а пополнение госбюджета КНДР. И бороться с этим становится всё сложнее.
“
"Учитывая тренд на цифровизацию и рост числа кибератак, “ручной” работы ИБ–служб уже недостаточно. Мы ожидаем, что рынок продолжит развиваться в сторону большей автоматизации, в том числе с помощью искусственного интеллекта", — говорит Кирилл Митрофанов.
APT28 (Fancy Bear) — грубая сила
APT28, известные как Fancy Bear, некоторыми комментаторами связываются с российскими спецслужбами, хотя никаких официальных подтверждений этому не существует. Их название всплыло ещё в 2016 году, когда мир говорил о взломе серверов Демократической партии США.
С тех пор APT28 отметились в атаках на бундестаг, спортивные организации, НАТО. Их стиль — широкий охват и агрессивная работа. Они не боятся оставлять следы, действуют нахрапом, как спецназ на штурме, поэтому поспеть за ними — задача не из простых.
“
"Противодействие служб информационной безопасности и злоумышленников носит асимметричный характер. Хакеру достаточно, чтобы одна атака из сотни достигла цели, тогда как службе безопасности необходимо защищать все векторы и системы одновременно", — подчёркивает Евгений Кокуйкин.
APT29 (Cozy Bear) — аристократы шпионажа
Организация с похожим на предыдущую названием и репутацией, но представляющая другую школу. Известна своим изяществом: работает скрытно, методично, оставляет минимум следов.
Именно APT29 приписывают атаку на компанию SolarWinds в 2020 году, когда через обновление ПО хакеры получили доступ к десяткам министерств и корпораций по всему миру. В 2023–2024 годах их активность снова фиксировалась в дипломатических структурах.
Разница между APT28 и APT29 — как между молотком и скальпелем. Первые ломают двери, вторые проникают через замочную скважину и остаются там надолго.
“
"Среднее время обнаружения кибершпионских атак в 2024 году достигло 390 дней, что на 40% больше, чем в 2023–м. Это означает, что злоумышленники находятся в сети более года до того, как их обнаружат", — подчёркивает Денис Батранков.
Charming Kitten (Иран) — точечные удары
Charming Kitten, или APT35, действуют от имени Ирана. Их методы — классический фишинг и социальная инженерия, но в очень избирательной форме.
Они атакуют журналистов, правозащитников, исследователей. В 2024 году зафиксированы атаки на учёных, связанных с ближневосточными ядерными программами. Цель — информация, а не деньги.
Charming Kitten отличаются тем, что они действуют как "охотники с лупой". Их удары незаметны для широкой публики, но крайне болезненны для жертв. В отличие от Lazarus, они не воруют миллиарды, но способны разрушить репутацию и скомпрометировать целые институты.
“
"Пользователи устали от новостей об утечках, они осторожнее делятся данными. Контрактное доверие работает, когда компания не только извиняется, но и компенсирует неудобства и прозрачно показывает, что сделано для защиты", — отмечает Александр Димитриев.
Evil Corp — старейшие банкиры подполья
Их имена звучат с начала 2010–х, когда трояны Dridex и Zeus стали символами банковского криминала. Несмотря на санкции США и громкие аресты, Evil Corp до сих пор активны. Их отличает умение адаптироваться: переименовываться, менять инструменты, уходить в тень и снова выходить на сцену.
Это уже не быстрые вымогатели, а скорее старая мафия. Их цель — деньги. Методы традиционные: банковские кражи, фишинг, трояны. Они держатся на опыте и связях.
“
"В ходе исследования недавних инцидентов мы обнаружили “экзотические” техники и процедуры, которые ещё недавно были характерны исключительно для команд Red Team (легальные специалисты, которых компании нанимают для контролируемых атак на самих себя. — Ред.). Возможно, на стороне групп, атакующих Россию, появились бывшие ИТ–специалисты или участники Red Team. Ожидаем, что эти техники будут встречаться в кибератаках всё чаще", — предупреждает Кирилл Митрофанов.
FIN7 (Carbanak) — миллиардеры–маскировщики
FIN7, или Carbanak, известны тем, что украли более $1 млрд через атаки на банки и POS–терминалы в ресторанах и отелях США. Их стиль — маскировка. FIN7 часто действовали через подставные IT–компании, нанимали сотрудников на фальшивые проекты и таким образом маскировали криминал под легальную активность.
Несмотря на аресты в Европе, группировка продолжает существовать. Их отличие от Evil Corp в том, что они ближе к "корпоративному мошенничеству": атакуют не только банки, но и целые сети ретейла и гостиничного бизнеса.
“
"Последствия инцидентов и их критичность каждая компания определяет по–своему. Но мы видим, что действия атакующих стали носить более агрессивный и деструктивный характер. Зачастую они не просто крадут и шифруют данные, но и удаляют их, например, с помощью вайперов (вредоносное ПО), делая восстановление невозможным. Всё это указывает на цель — нанести максимально возможный ущерб, нарушить производственные и бизнес–процессы, а не просто получить выкуп или украсть информацию", — описывает текущие тенденции Митрофанов.
Наследники Conti — распавшийся спрут
Группировка Conti формально распалась в 2022 году, но на деле их участники разошлись по другим бандам. Сегодня существуют десятки "детей Conti" — Royal, Hive и другие. Они сохранили инфраструктуру, методики и контакты. В результате даже после распада Conti остаются одной из самых опасных сил в киберподполье. Только теперь в виде множества голов одного дракона.
“
"Рынок защиты консолидируется вокруг нескольких платформ; интеграторы становятся кураторами экосистем. Ближайшие драйверы — автоматизированное реагирование и безопасность идентичностей. Дальше — управление маршрутами атаки и приватные вычисления, на длинной дистанции — постквантовая криптография. И двигает всё это не страх, а экономика простоев: когда минута даунтайма бьёт по P&L сильнее выкупа. То есть время простоя уже обходится бизнесу дороже, чем сам выкуп, который требуют хакеры", — подытоживает Александр Димитриев.
