Осторожно, злая атака: названы три самые опасные хакерские группировки
В начале 2025 года в РФ активизировались сразу три крупные хакерские группировки. По приблизительным оценкам экспертов, вред от их деятельности оценивается в сотни миллионов рублей. Самая опасная — Head Mare — ранее взломала СДЭК и «ПетербургГаз», недавно она разрушила защиту крупного предприятия тяжелой промышленности и использовала схему с вымогательством денег. О хакерах и выбранных ими сферах атак — в материале «Известий».
Тройка самых опасных хакерских группировок
Эксперты компании «Информзащита» рассказали «Известиям» о самых опасных хакерских группировках, которые устраивали атаки на российские компании в 2025-м. На первом месте международная Head Mare, она впервые появилась в 2023-м, ее цель — организации из России и Белоруссии. В январе этого года на ее долю пришлось около 15% всех атак с вымогательством.
На втором месте LokiLocker, она также появилась в 2023 году, в январе 2025-го они ответственны примерно за 10% атак. Точное происхождение группировки неизвестно, предположительно, она включает в себя хакеров из Ирана и стран Восточной Европы: Польши, Чехии и Украины.
На долю Babuk2, которые занимают третью позицию, пришлось 8% атак на российские компании. Хакерская группировка действовала в 2020–2021 годах, считается, что в 2025-м были созданы их подражатели. Включает в себя русскоговорящих и англоговорящих хакеров, вероятно, изначально она сформировалась в РФ, уточнили в пресс-службе «Информзащиты».
В компании рассказали «Известиям» о недавнем случае атаки Head Mare на одно из предприятий тяжелой промышленности. Атака была организована через уязвимости в маршрутизаторах, которые использовались в информационной инфраструктуре организации. Вредоносное ПО находилось там, предположительно, на протяжении трех месяцев. В результате хакеры смогли зашифровать часть баз данных, включая информацию о планируемых отгрузках и их объемах. Серьезных последствий удалось избежать за счет своевременного привлечения специалистов сервисной службы ИБ и наличия резервных копий. Выкуп, который требовали злоумышленники, составлял около 900 тыс. рублей.
«В январе 2025-го 25% атак с вымогательством были нацелены на промышленный сектор, который останется самой атакуемой отраслью в течение года. Причины внимания к промышленности помимо наличия ценной информации в использовании устаревшего оборудования (60% предприятий) и недостаточной работе специалистов по информбезопасности (45% компаний). Также в топе атакуемых отраслей оказались услуги (20%) и здравоохранение (10%)», — говорится в исследовании экспертов «Информзащиты» (есть в распоряжении «Известий»).
Специалисты наблюдают тенденцию объединения группировок хакеров-вымогателей и отдельных хактивистов для осуществления атак. Так, в январе количество кибератак увеличилось на 80% по сравнению с аналогичным периодом 2024-го, что связано с распространением так называемых RaaS-платформ, позволяющих злоумышленникам легко получать вредоносное ПО. RaaS — вымогательство как услуга — один из самых популярных сервисов, предоставляемых программистами-правонарушителями, рассказали специалисты по кибербезопасности.
Какой ущерб нанесли хакеры
Head Mare атакует всё, до чего может дотянуться в России, поэтому подсчет ущерба крайне сложен, рассказал «Известиям» генеральный директор Phishman, эксперт в области информационной безопасности Алексей Горелкин. По его оценкам, с учетом простоев одна только ситуация со СДЭК в мае 2024 года привела к ущербу до 1 млрд рублей. По мнению специалиста, из топ-3 Head Mare опаснее всего, но эксперт советует не забывать про северокорейских хакеров Lazarus, которые на протяжении полутора десятков лет остаются крайне эффективными и, вероятно, благодаря им КНДР входит в топ по величине держателей биткоинов в мире.
— Head Mare атакует многих: и концерн «Калашников», и РЖД, и белорусские интеграторы по информационной безопасности. При этом множество подобных группировок проправительственные, это значит, что они «сидят» на зарплате у наших недругов и атакуют не самых уязвимых, но тех, взлом которых принесет максимальный экономический и информационный ущерб для России, — добавил эксперт.
С этим согласен руководитель департамента информационно-аналитических исследований компании T. Hunter Игорь Бедеров.
— Остановка завода может стоить миллионы рублей в час, что делает промышленные компании более сговорчивыми при выплате выкупа. При этом внедрение автоматизации опережает обновление систем безопасности. Например, устаревшие системы информационной безопасности на заводах становятся легкой мишенью для киберпреступников. Ну и часть атак, вероятно, спонсировалась государствами, для которых промышленные объекты относятся к наиболее значимым целям, — уточнил он.
По данным Игоря Бедерова, в случае со взломом компании «ПетербургГаз» в конце 2024 года хакеры внедрили вредоносный код в систему управления давлением, что вызвало аварийное отключение части сети. Последствия могли быть катастрофическими, но сработала ручная перезагрузка. В организации официально не подтверждали произошедшее.
Начиная с апреля 2023-го, по данным экспертов, LokiLocker атаковала не менее 62 компаний по всему миру, из них 21 — в России, рассказал Игорь Бедеров. В основном от действий группировки страдали компании малого и среднего бизнеса из сферы строительства, туризма, розничной торговли. Считается, что костяк LokiLocker составляют выходцы из стран Восточной Европы, среди которых есть Польша и Украина, добавил он.
Эксперт отметил, что прямых доказательств формального альянса или координированных действий между группировками Babuk2, Head Mare и LokiLocker на начало 2025 года нет. Однако косвенные признаки и аналитические данные позволяют говорить о возможных пересечениях в методах, инфраструктуре или спонсорах.
— Рост кибератак в 2025 году доказал, что информационная безопасность — это стратегический приоритет, который влияет на выживание и конкурентоспособность бизнеса, — отметил директор консалтинговой компании «АРБ Про» Демид Голиков.
По словам эксперта по информбезопасности, замминистра цифрового развития Вологодской области Ахметжана Махмутова, к 2026 году стоит ожидать слияния группировок в альянсы, что, в свою очередь, увеличит масштаб угроз. При этом уже сейчас отмечается массовое использование ИИ хакерскими группами для анализа уязвимостей. Например, Head Mare применяла нейросети для поиска слабых мест в коде СДЭК за считаные минуты, добавил он.
Для защиты эксперт рекомендует организациям внедрять квантово-устойчивое шифрование, регулярно тестировать системы на предмет аппаратных закладок и создавать резервные хранилища данных для распределения рисков.
