Шпионаж вместо выкупа: как хакеры захватывают российскую промышленность

Сорок два процента кибератак на российские компании в этом году преследуют одну цель — шпионаж. Хакеры сменили тактику: вместо блокировки систем ради выкупа они выбирают многомесячную скрытую слежку. Под ударом оказались промышленность, транспорт и финансовый сектор, где кража данных стала опаснее и выгоднее прямого вымогательства.

Киберпреступные группировки в России окончательно сменили приоритеты: на смену примитивному вымогательству пришел глубокий промышленный шпионаж. По данным аналитиков BI.ZONE и «Лаборатории Касперского», доля таких инцидентов в первом квартале подскочила до 42%. Для сравнения, за весь прошлый год этот показатель составлял 37%. Хакеры больше не спешат заявлять о себе — их цель состоит в том, чтобы месяцами оставаться внутри корпоративных сетей, изучая чертежи, финансовые схемы и переписку топ-менеджмента.

Одной из самых активных сил стала группировка Paper Werewolf. Эти взломщики используют изощренные методы доставки вирусов, маскируя их под установщики Adobe Acrobat Reader или обычные PDF-документы. Внутри их вредоносного софта скрыты кастомные «стилеры», способные выкачивать данные из Telegram, похищать пароли из браузеров и мониторить содержимое съемных дисков. Подобная скрытность позволяет злоумышленникам долго эксплуатировать одну и ту же уязвимость, пока компания даже не подозревает об утечке.

Слежка за транспортом и уничтожение данных

Особое внимание хакеры уделяют транспортному сектору и авиации. Группировка Geo Likho только за последние семь месяцев провела более 200 атак на российские судоходные и авиакомпании. Их тактика строится на терпении: после первичного проникновения через фишинговое письмо с «новым договором», атакующие закрепляются в инфраструктуре на недели. В это время они делают снимки экранов сотрудников, собирают системные журналы и техническую документацию, которая позже перепродается на черном рынке.

Методы проникновения становятся всё более диверсифицированными:

• Эксплуатация уязвимостей в веб-приложениях (31% сложных взломов);
• Компрометация учетных записей сотрудников и сервисов подрядчиков;
• Целевой фишинг с использованием социальной инженерии;
• Применение DDoS-атак в качестве отвлекающего маневра для основного взлома.

Помимо кражи информации, эксперты компании Angara MTDR фиксируют опасный тренд на полное уничтожение инфраструктуры жертвы. Группировки вроде Space Pirates и RedCurl всё чаще отказываются от выкупа в пользу деструктивных действий. При этом 80% атак оказываются успешными не из-за слабости софта, а из-за ошибок в настройке систем безопасности и ложного чувства защищенности. Многие компании тратят ресурсы на охрану внешнего периметра, оставляя внутреннюю сеть практически открытой для тех, кто уже похитил пароль рядового сотрудника или партнера.