Главная киберугроза Европы — пророссийские хакеры

Отчет CrowdStrike European Threat Landscape Report 2025 систематизирует данные о киберактивности, затрагивающей европейские страны. По оценке аналитиков, Россия сохраняет ведущую роль в формировании региональной угрозовой среды, сочетая целенаправленные кибероперации, активность хактивистских сообществ и использование подпольных форумов для координации действий. Наряду с этим фиксируются кампании, исходящие из Ирана, Китая и КНДР, однако их масштабы значительно ниже. Редакция SecPost представила основные выводы отчета, отражающие текущее состояние и ключевые тенденции киберугроз в Европе.

Рост атак и эволюция теневой экосистемы

Европа остается одной из наиболее атакуемых регионов мира — на нее приходится около 22% всех организаций, упомянутых на сайтах утечек данных. По оценке аналитиков CrowdStrike, это делает континент второй по масштабам целью после Северной Америки.

Основные атаки приходятся на Великобританию, Германию, Италию, Францию и Испанию, преимущественно в секторах промышленности, услуг, технологий и ритейла. Количество записей о европейских организациях на сайтах утечек выросло почти на 13% за год — с 1220 до 1380.

Среди наиболее активных групп в отчете названы BITWISE SPIDER (LockBit), PUNK SPIDER, BRAIN SPIDER, OCULAR SPIDER и TRAVELING SPIDER. Несмотря на аресты и блокировки инфраструктуры, сегмент вымогательства сохраняет устойчивость: отдельные группировки продолжают деятельность под другими именами.

Аналитики отмечают, что значительная часть поддерживающей инфраструктуры этих операций опирается на русскоязычные подпольные сервисы, где действуют брокеры доступа и операторы вредоносных программ по модели Malware as a Service (MaaS — «вредоносное ПО как услуга»).

Русскоязычная киберэкосистема

Русскоязычный сегмент остается центральным элементом теневой экосистемы кибератак. По данным CrowdStrike, форумы Exploit, XSS и RAMP служат площадками для обмена инструментами, опытом и услугами между участниками, действующими на коммерческой основе.

Эти ресурсы превратились в универсальные платформы, где продаются доступы к сетям, вредоносные программы и сервисы монетизации атак. Внутренняя система рейтингов и гарантов обеспечивает доверие между участниками и устойчивость к блокировкам.

Отчет указывает, что многие сервисы работают по модели Malware as a Service и управляются известными операторами, включая RENAISSANCE SPIDER и LUNAR SPIDER. Внутри экосистемы действует негласное правило — не атаковать организации России и стран СНГ. Некоторые инструменты, такие как Amadey Loader и Matanbuchus (загрузчики, распространяемые по модели Malware as a Service и применяемые для установки других вредоносных программ), автоматически прекращают работу на устройствах с русскоязычными настройками.

Россия и кибероперации в Европе

В отчете CrowdStrike указаны операции групп, действующих в интересах российского государства и нацеленных на сбор данных и влияние на общественные процессы.

К наиболее активным относятся FANCY BEAR, VOODOO BEAR, PRIMITIVE BEAR и GOSSAMER BEAR, чья деятельность сосредоточена на Украине, но периодически затрагивает европейские структуры. Используются фишинг, поддельные обновления и легитимные административные инструменты.

Отдельно выделяется RENAISSANCE SPIDER, сочетающая технические операции с элементами информационных кампаний. По оценке аналитиков, ее действия согласованы с российскими государственными интересами. Также отмечены случаи привлечения через Telegram исполнителей для отдельных задач, что усложняет атрибуцию атак.

Пророссийский хактивизм

CrowdStrike отмечает рост активности хактивистских сообществ, поддерживающих пророссийскую повестку. Они проводят атаки, направленные на создание информационного эффекта, а не на причинение прямого ущерба. Основные цели — государственные сайты, финансовые учреждения и компании в странах, поддерживающих Украину.

Наиболее заметные группы — BOUNTY JACKAL, Cyber Army of Russia (CARR) и Z-Alliance. Их операции носят координированный характер: атаки часто приурочены к выборам, общественным протестам и международным событиям. Распространены DDoS-кампании и попытки временно вывести из строя публичные онлайн-сервисы.

Некоторые группы меняют названия и каналы коммуникации после блокировок, однако сохраняют активность в Telegram и на специализированных форумах. По оценке CrowdStrike, хактивизм такого типа становится инструментом информационного воздействия и дополняет технические операции других акторов, связанных с Россией.

Новые методы атак

В 2024–2025 годах аналитики отмечают смещение тактик в сторону методов социальной инженерии и приемов, нацеленных на пользователя. Так, выделяются vishing — телефонные схемы для получения доступа и фейковые CAPTCHA — поддельные страницы с проверкой «я не робот», где пользователя убеждают выполнить дополнительное действие, в результате чего на устройство загружается вредоносный код. CrowdStrike фиксирует почти 1 000 инцидентов, связанных с vishing, и свыше 1 000 случаев с CAPTCHA-ловушками, затронувших клиентов в Европе.

Эти методы распространяются через готовые наборы и шаблоны, продаваемые на форумах и в Telegram-каналах; предложения включают кроссплатформенные загрузчики для Windows, macOS и Linux и функции обхода защиты. Также отмечен рост «физических» инцидентов, связанных с криптовалютой: с января по сентябрь 2025 года в Европе зафиксировано 17 подобных случаев (13 — во Франции).

В сумме атакующие всё чаще опираются на дешёвые, быстро масштабируемые приёмы и готовые сервисы, которые позволяют обойти автоматические барьеры и эксплуатировать человеческий фактор.

Другие источники угроз

Помимо России, в отчете CrowdStrike выделяются акторы, связанные с Ираном, Китаем и КНДР. Их активность носит в основном разведывательный характер и направлена на получение политической, экономической и технологической информации.

Иранские группы (BANISHED KITTEN, HAYWIRE KITTEN) атакуют организации, поддерживающие Израиль, а также иранские медиа и правозащитные структуры в Европе. Китайские акторы действуют более скрытно, фокусируясь на оборонных и дипломатических учреждениях. Северокорейские группировки, по наблюдениям CrowdStrike, ведут целевые кампании в сфере финансов и криптовалют и поддерживают технологическое сотрудничество с Россией.

По масштабу и интенсивности эти операции заметно уступают российскому сектору, но формируют дополнительный слой угроз, с которым сталкиваются европейские компании и госструктуры.

В заключение

Отчет CrowdStrike European Threat Landscape Report 2025 показывает, что российские и пророссийские группы продолжают определять облик киберугроз в Европе. Их деятельность охватывает широкий спектр — от целенаправленных операций против инфраструктуры до информационного влияния и хактивистских кампаний.

Совмещение киберактивности, хактивизма и теневых сервисов создает устойчивую экосистему, способную быстро восстанавливаться после блокировок и арестов. При этом российский сегмент остается ключевым источником инструментов, сервисов и исполнителей, которые используются и в коммерческих атаках, и в операциях с признаками государственного участия.

Акторы из Ирана, Китая и КНДР также сохраняют активность, но их масштаб и регулярность существенно ниже. В целом, как подчеркивают аналитики CrowdStrike, Европа входит в число наиболее подверженных регионов, где кибератаки становятся частью более широких геополитических процессов.

Отчет «CrowdStrike European Threat Landscape Report 2025» доступен по ссылке.