Хакерские группировки начали более активно пытаться внедряться в компании для шпионажа — доля таких атак с начала года уже выросла до 42%, сообщили в компаниях по кибербезопасности. При этом за весь 2025 год объем таких атак составлял 37%. Под ударом сейчас — промышленные, финансовые и транспортные организации. В этом году изменились и цели злоумышленников: ранее они требовали выкуп за сохранение инфраструктуры, но сейчас всё чаще намерены просто ее уничтожить, без каких-либо условий. О том, как изменилось поведение хакеров и какие методы они используют, — в материале «Известий».
Почему растет кибершпионаж
В I квартале 42% кибератак совершалось с целью шпионажа, сообщили «Известиям» специалисты BI.ZONE Threat Intelligence. При этом, по данным исследования Threat Zone 2026, за весь прошлый год этот показатель составил 37%.
В частности, активизировалась группировка Paper Werewolf — она нападает на российский промышленный, финансовый и транспортный секторы, а также разрабатывает вредоносное ПО. Для этих злоумышленников характерно длительное скрытое присутствие в инфраструктуре.
— Группировка активно экспериментирует с цепочками атак, используя фишинговые PDF-документы, установщики и различные загрузчики для доставки вредоносной нагрузки, — рассказал руководитель BI.ZONE Threat Intelligence Олег Скулкин. — Кластер обладает высоким уровнем подготовки и технической зрелости.
Кроме того, по словам эксперта, члены группировки создали собственный стилер (тип вредоносного ПО), который позволяет собирать данные из Telegram, файлы с локальных, сетевых и съемных дисков, а также красть учетные данные из браузеров.
Одна из кампаний Paper Werewolf была нацелена на промышленные и финансовые организации. Открывая файл, вложенный в письмо, жертвы фактически запускали троян удаленного доступа. Вредоносное ПО позволяло собирать системную информацию о скомпрометированном устройстве, загружать и отправлять файлы на командно-контрольный сервер, а также выполнять команды. Весь процесс был замаскирован под установку программы Adobe Acrobat Reader.
Увеличение количества атак, основная цель которых — кибершпионаж, подтвердила и ведущий аналитик Cyber Threat Intelligence в «Лаборатории Касперского» Наталья Шорникова.
— Недавно мы обнаружили новую группировку Geo Likho, которая в основном нацелена на транспортную сферу РФ — авиацию, судоходные компании, — рассказала она. — Только за последние семь месяцев злоумышленники провели более 200 нападений в нашей стране.
По ее словам, для первоначального доступа злоумышленники используют целевой фишинг: жертве присылают письмо, в котором просят ознакомиться с договором. После заражения сети атакующие стремятся надолго закрепиться в скомпрометированной инфраструктуре, чтобы вести наблюдение за целью и похищать данные.
— Они могут сохранять там свое присутствие в течение нескольких недель или даже месяцев, — добавила Наталья Шорникова. — Злоумышленники собирают данные на компьютере и съемных носителях жертвы: например, системные журналы, презентации и другие офисные файлы, изображения, а также периодически делать снимки экрана.
Geo Likho похищает у организаций не только документы, но и дополнительную информацию: список установленных программ, драйверов и компонентов операционной системы. Еще один пример — группировка HeartlessSoul, атакующая госсектор и промышленность РФ с 2025 года ради кибершпионажа. Злоумышленники используют традиционные методы проникновения в компанию.
Как еще атакуют хакеры
Тренд на усиление кибершпионажа подтвердил и ведущий эксперт компании «Доктор Веб» Иван Королев. По его словам, любое проникновение в инфраструктуру компании обычно направлено на хищение данных или на их шифрование.
— Последнее происходит только в тех случаях, когда группа атакующих изначально нацелена на получение выкупа, — отметил он. — При хищении данных злоумышленники получают деньги от заказчиков, а при шифровании уже у пострадавшего как выкуп. Оно требует дополнительной инфраструктуры и усилий, поэтому для злоумышленников выгоднее хищение.
Такими атаками, по его словам, активно занимаются проукраинские группы, в том числе базирующиеся в странах Азии. К ним относятся, например, Rare Wolf, которая в настоящее время считается наиболее активной, а также exCobalt. Среди финансово мотивированных кибергруппировок эксперт отметил Head Mare, специализирующуюся на шифровании данных, и Watch Wolf, участники которой занимаются кражей информации.
— Есть еще несколько похожих группировок, но они работают без особых всплесков активности, просто планомерно, — добавил Иван Королев. — Мы фиксировали финансово мотивированную группу, которая похищает средства через дистанционное банковское обслуживание. Она выгружала корпоративные документы в большом объеме.
Также появился тренд на полное уничтожение инфраструктуры жертвы без предварительного требования выкупа, рассказала руководитель отдела реагирования и цифровой криминалистики Angara MTDR Лада Антипова.
— Мы сталкивались с многочисленными группировками, в том числе давно известными, — сказала она. — В частности, Space Pirates и RedCurl. Первую связывают со злоумышленниками из Юго-Восточной Азии. Вторая группа чаще всего атакует финансовые, страховые, строительные и организации сферы розничных продаж на территории России и других стран.
Сложившаяся ситуация связана с геополитической повесткой, в ходе которой активизируются шпионские группировки, желающие украсть информацию, представляющую государственную тайну, рассказали в пресс-службе ГК «Солар».
В 2025-м чаще всего злоумышленники атаковали организации госсектора (39%) и промышленности (17%). Также под ударом были IT-компании (13%) — с прошлого года доля сложных нападений на организации отрасли выросла в 2,1 раза. Кроме того, 7% киберинцидентов происходило на предприятиях сферы энергетики. Четверть всех атак начиналась через доверительные отношения.
«Самый популярный способ проникновения в инфраструктуру подрядчика — эксплуатация уязвимостей в веб-приложениях, доля такого вектора в прошлом году составила 31%, — добавили в компании. — Еще 30% сложных инцидентов случилось из-за скомпрометированных сервисов или учетных записей сотрудников, а 15% — через фишинг».
Почему компании уязвимы
Кибершпионаж становится прибыльнее других типов атак, поскольку внутренняя информация о клиентах, разработках, технологиях, а также любая иная конфиденциальная информация ценна для черного рынка, добавил эксперт отдела анализа и оценки цифровых угроз Infosecurity (входит в «Софтлайн Решения», ГК Softline) Александр Двоеложков.
— Основные цели атак — высокотехнологичные промышленные предприятия, финансовые и транспортные организации. Из них злоумышленники пытаются похитить конфиденциальную информацию, например ноу-хау, проектные чертежи, персональные данные клиентов, финансовые сведения, а также стратегические планы компаний, — добавил эксперт. — Добытая информация используется для шантажа организаций или продажи конкурентам.
Большинство российских компаний остаются уязвимыми из-за ошибок в настройке и эксплуатации систем защиты, подчеркнул руководитель отдела реагирования на инциденты компании «Бастион» Семен Рогачев. По его словам, до 80% подобных случаев достигают цели злоумышленников.
— Некоторые компании считают: если киберпреступники не могут проникнуть через внешний периметр, то IT-инфраструктура защищена, — отметил Семен Рогачев. — Однако такой подход создает ложное чувство безопасности. Доступ во внутреннюю сеть может быть получен также при помощи социальной инженерии или учетных записей подрядчиков.
Проникновение в компании чаще всего происходит через фишинговые письма сотрудникам, через атаки на цепочки поставок, а также через комбинированные нападения, когда, например, DDoS используется как отвлекающий маневр, добавил директор по работе с государственными заказчиками компании «Гигант-Компьютерные системы» Алексей Колодка.
Многие киберинциденты начинаются с предварительного шпионажа: злоумышленники изучают инфраструктуру, сотрудников и процессы, выбирая наиболее уязвимую точку входа.