Худшие из худших: Топ-5 атакующих Россию хакерских группировок

Подробные данные о киберпреступных группировках, действующих против РФ, эксперты компании F6 привели в исследовании «Киберугрозы в России и Беларуси. Аналитика и прогнозы 2025/26». Специалисты разделили все группировки на три основные категории: те, что используют программы-вымогатели, политически мотивированные преступные группы и прочие финансово мотивированные группировки.

Категория	Подкатегория	Описание		Представители
Группы, использующие программы-вымогатели	Проукраинские группировки	Так или иначе связаны между собой, зачастую используют схожие техники и инструменты, а порой совершают совместные атаки, в которых принимают участие сразу несколько групп.		Shadow/THOR
				Bearlyfy/Labubu
				3119/TR4CK
	Восточные группировки	Практически идентичны по тактикам, техникам и процедурам, а также используют похожие инструменты. В основном партнерская программа строится на используемых шифровальщиках. Большинство восточных партнерских программ имеют отношение к странам, население которых говорит на персидском языке.		Mimic Ransom
				Proton/Shinra
				Sauron
				C77L
				BlackFL/BlackHunt
				PE32
				LokiLocker/BlackBit
				Enmity/Mammon
				HsHarada
	Другие атакующие, использующие программы-вымогатели	Не имеют между собой общих унифицирующих признаков, тем не менее можно выделить тактики, техники и процедуры, наиболее часто используемые всеми группировками.		Masque
				OldGremlin
				Pay2Key
				Room155
				Storm-2603/GOLD SALEM/CL-CRI-1040
Политически мотивированные преступные группы	Группировки, ориентированные на DDoS-атаки	Их объединяет общая идея, тесно связанная с геополитической обстановкой. Группы нацелены на нанесение ущерба, остановку работы ресурсов, простои компаний и организаций. Причем для них характерна публичность: они заявляют в своих социальных сетях и каналах об успешном проведении атак. Тем самым политически мотивированные киберпреступники привлекают к себе больше внимания, а чем громче новости с их упоминанием, тем сильнее эффект устрашения.		IT Army of Ukraine
				Himars DDoS
				CyberSec’s
				Кіберкорпус
	Группировки, ориентированные на саботаж и публикацию утечек			Silent Crow
				BO Team
				CyberUnknown
				DC8044
				Yellow Drift
				Ukrainian Cyber Alliance
				Belarusian Cyber-Partisans
				Hdr0
				4B1D
Другие финансово мотивированные группировки			Насчитывает более 20 представителей, которые проводят атаки с использованием ВПО Buhtrap. После публичного освещения вредоносной активности исследователями некоторые группировки меняют подход к атакам, начинают использовать новые инструменты. Например, Vasy Grek добавил в арсенал программу-вымогатель. Но также есть группы, которые годами используют один и тот же подход для проведения атак (Hive0117).	Vasy Grek
				Hive0117
				CapFIX

По просьбе SecPost ИБ-эксперты рассказали, какие киберпреступные группировки из отчета F6 представляются им наиболее опасными.

Shadow/THOR

Группы, использующие программы-вымогатели / проукраинские группировки.

Проукраинская группировка Shadow/THOR атакует крупный бизнес, используя известные эксплойты и популярный хакерский инструментарий, который в основном состоит из инструментов с открытым исходным кодом, предназначенных для тестирования на проникновение, говорит эксперт по кибербезопасности Angara Security Виктория Баранова. По словам эксперта, Shadow/THOR также применяет относительно несложные, но разнообразные тактики, техники и процедуры. Часто эта группировка совмещает шифрование данных с их несанкционированной передачей на сторонние ресурсы (эксфильтрацией), чтобы обеспечить себе несколько рычагов давления при требовании выкупа. Такая тактика применяется давно и называется «двойным вымогательством».

Bearlyfy / Labubu

Группы, использующие программы-вымогатели / проукраинские группировки.

Проукраинская хактивистская группа Bearlyfy/Labubu демонстрирует рекордную активность: в минувшем году она провела не менее 55 атак, говорит ведущий специалист отдела исследовательских разработок компании «Стахановец» и эксперт в области информационной безопасности Алексей Миронов. При этом киберпреступники использовали шифровальщики не для выкупа, а для целенаправленных диверсий (общая доля таких атак в 2025 году составила 15%).

«Технический арсенал един — для начального проникновения используются LockBit 3, Babuk и Remcos RAT, а для закрепления и горизонтального перемещения — MeshAgent. Главный вектор распространения атак — цепочки поставок и уязвимые подрядчики», — отмечает эксперт.

IT Army of Ukraine

Политически мотивированные преступные группы / группировки, ориентированные на саботаж и публикацию утечек.

Одна из самых известных по результативности кибергруппировок IT Army of Ukraine проводит координацию атак через Telegram: в своем канале ее участники регулярно публикуют результаты успешных DDoS-атак на российские организации, рассказывает эксперт в области кибербезопасности и инженер-аналитик компании «Газинформсервис» Ирина Дмитриева.

«Участники IT Army of Ukraine применяют общедоступные открытые инструменты для проведения DDoS-атак при соучастии крупных ботнетов. Они руководствуются политическими убеждениями и работают на тех, кто спонсирует их деятельность», — говорит специалист.

По словам Ирины Дмитриевой, основными инструментами воздействия IT Army of Ukraine являются DDoS-атаки на крупный и средний российский бизнес, публикации утечек данных и провокации в социальных сетях. Однако сегодня значительная масса DDoS-атак успешно отражается, деятельность группировки идет на спад, а она сама теряет свою популярность.

BO Team

Политически мотивированные преступные группы / группировки, ориентированные на саботаж и публикацию утечек.

По словам руководителя группы киберразведки Positive Technologies Алексея Банникова, по состоянию на 2026 год за группировкой BO Team стоят не так называемые script-kiddies (низкоквалифицированные киберпреступники), а профессиональные специалисты по проникновению. Чаще всего их целями становятся государственные учреждения, субъекты КИИ и объекты ОПК, а мотивация варьируется от длительного шпионажа до полного разрушения инфраструктуры жертвы.

«Мы видим, как подходы злоумышленников к атакам усложняются. Например, специалисты группы киберразведки PT ESC зафиксировали первую фишинговую атаку группировки BO Team с использованием уязвимости CVE-2026-21509 в Microsoft Office, направленную на российские организации», — рассказывает эксперт.

Сам факт использования такой уязвимости свидетельствует, что злоумышленники не ограничиваются готовыми инструментами и скриптами из открытого доступа, а самостоятельно находят уязвимости, от которых большинство пользователей еще не успели защититься, считает Алексей Банников.

CapFIX

Другие финансово мотивированные группировки.

Активность группировки Insolent Hyena (второе название CapFIX) фиксируется с июня 2025 года, говорит руководитель BI.ZONE Threat Intelligence Олег Скулкин. Интересной особенностью кластера, к которому относится группировка, является использование техники ClickFix в фишинговых атаках. Insolent Hyena пользуется одним методом получения первоначального доступа — фишингом.

«Основные инструменты группировки — загрузчик Octawave Loader (достаточно сложный загрузчик, использующий стеганографические техники для сокрытия вредоносной нагрузки) и самописный троян удаленного доступа CapDoor. Кластер проводит атаки на российские компании из государственного сектора, финансовой отрасли, страхования и розничной торговли», — рассказывает Олег Скулкин.

По мнению специалиста, классификацию киберпреступных группировок от компании F6 можно дополнить кибершпионскими группировками — например Paper Werewolf (GOFFEE). Этот кластер использует обширный арсенал ВПО, а в атаках, нацеленных на российские организации, эксплуатировал уязвимость нулевого дня в WinRAR, заключает собеседник SecPost.