Исследование «Лаборатории Касперского»: хактивисты обычно реализуют угрозы через несколько дней или недель
Это подчёркивает важность постоянного мониторинга и оперативного реагирования
Команда Kaspersky Digital Footprint Intelligence изучила деятельность хактивистов из региона МЕТА* и подготовила масштабный отчёт «Сигнал посреди шума». В нём проанализирована активность 120 групп, а также более 11 тысяч сообщений, опубликованных злоумышленниками в сети и даркнете в 2025 году. Команда уделила особое внимание тому, как атакующие ведут коммуникации, в том числе используют хештеги. Анализ показал, что хактивисты обычно переходят к действиям в течение нескольких дней или недель после публичных заявлений с угрозами. Это подчёркивает важность постоянного мониторинга и быстрого реагирования.
Глобальный характер угрозы. Хактивисты атакуют жертв в разных регионах, включая страны Европы, США, Индию, Вьетнам и Аргентину. Злоумышленники стремятся к максимальному охвату и зрелищности и не фокусируются только на отдельных локальных целях.
Быстрый переход от угроз к атакам. На этот факт стоит обратить внимание ИБ-командам. В отличие от APT-групп, хактивисты значительно быстрее претворяют в жизнь свои угрозы — обычно это занимает от нескольких дней до нескольких недель. Поэтому необходимо оперативно принимать меры и не игнорировать их заявления.
Доминирование DDoS-атак. В 2025 году более чем в половине (61%) отчётов о кибератаках, упомянутых в сообщениях хактивистов и содержащих хештеги, речь шла о DDoS-атаках.
Хештеги для продвижения публикаций о кибератаках. В 2025 году специалисты «Лаборатории Касперского» обнаружили более 2 тысяч уникальных меток, из которых почти 1,5 тысячи впервые появились в этом году. Хештеги позволяют злоумышленникам добиться разных целей: идентифицировать себя, заявить об ответственности, распространить сведения об успешных кибератаках с целью привлечь внимание общественности. Большинство хештегов «живут» всего около двух месяцев, поскольку администраторы мессенджеров блокируют каналы таких групп. Однако популярные среди хактивистов комбинации могут использоваться дольше — в том числе в публикациях в новых группах, созданных на замену заблокированным.
Объединение усилий. Группы хактивистов часто сотрудничают, чтобы добиться наибольшего эффекта. О таких альянсах они могут заявлять в рамках совместных кампаний, в том числе при помощи хештегов.
«Мы изучили деятельность хактивистов на примере региона META и выделили несколько ключевых особенностей, которые могут взять на вооружение ИБ-специалисты. Такие группы, в отличие от других вредоносных альянсов, стремятся к максимальной огласке, что отражается в характере их коммуникаций. Непрерывное наблюдение за публикациями хактивистов позволяет аналитикам ещё на ранних этапах получить информацию о следующих потенциальных мишенях. Именно поэтому так важно использовать решения для мониторинга, такие как Kaspersky Digital Footprint Intelligence, — чтобы превратить „шум” в потоке сообщений в важный сигнал для ИБ-команд», — комментирует Ксения Кудашева, аналитик Digital Footprint Intelligence.
Чтобы защититься от киберугроз, «Лаборатория Касперского» рекомендует бизнесу и госучреждениям:
- разработать план по реагированию на инциденты, уделяя внимание противодействию DDoS-атакам. Он должен включать в себя сценарии работы сотрудников принаступлении того или иного ИБ-события, список необходимых ресурсов, перечень применяемых инструментов, права и обязанности команды реагирования;
- регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, втом числе фишинга, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform. Для расширения навыков ИБ-специалистов подойдут продвинутые тренинги от экспертов «Лаборатории Касперского»;
- регулярно обновлять операционную систему и ПО на всех корпоративных устройствах, чтобы своевременно закрывать известные уязвимости;
- инвестировать в средства мониторинга, такиекак Kaspersky Digital Footprint Intelligence, чтобы своевременно находить объявления об угрозах со стороны хактивистов и оперативно принимать меры;
- предоставлятьSOC-командам доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников;
- использовать комплексную защиту компаний от киберугроз, напримерKaspersky Symphony. Эта линейка продуктов обеспечивает всеобъемлющую видимость угроз и защиту в режиме реального времени. Она подходит для организаций любого масштаба и отрасли, поскольку предусматривает несколько уровней защиты в зависимости от потребностей и ресурсов бизнеса.
* МЕТА — Турция, страны Ближнего Востока и Африки.
12 комментария