Вопрос группировки: украинские хакеры массово атакуют россиян с помощью ИИ
Количество нападений с использованием вредоносного ПО выросло на 48%
EN
Украинские хакеры начали регулярно использовать ИИ-решения при атаках россиян — количество таких нападений за пять месяцев 2025 года выросло на 48% по сравнению с аналогичным периодом в 2024-м. Лидером по числу таких атак стала группировка Librarian Ghouls, основу которой составляют хакеры из Польши и с Украины. Они не разрабатывают собственные программы, а покупают в даркнете готовые решения и дорабатывают их с помощью нелегальных ИИ-агентов.
Массовые кибератаки со стороны Украины
Россияне в 2025-м системно подвергаются массовым атакам со стороны хакеров из Восточной Европы — в частности, с Украины и из Польши. Количество подобных нападений за первые пять месяцев года выросло на 48%, ключевым фактором стали нелегальные платформы с элементами ИИ, которые облегчают создание вредоносного ПО. Об этом «Известиям» сообщил директор центра мониторинга и противодействия кибератакам IZ:SOC «Информзащиты» Александр Матвеев.
— ИИ способен создавать вредоносные программы, которые хакеры используют для атак на компании. Для этого с помощью нейросетей необходимо найти специальные модели в даркнете, у которых сняты этические барьеры. Подписка на такие ассистенты обычно составляет $200 в месяц, — пояснил он.
Созданные с помощью ИИ вирусы в основном используют начинающие хакеры, не способные самостоятельно создать сложную программу. В этом заключается главная проблема использования технологии для разработки «вредоносов» — он физически увеличивает число злоумышленников, отчего растет и число инцидентов в области инфобезопасности, отметил эксперт. Еще одним фактором стало масштабное распространение криминальной модели Ransomware-as-a-Service (RaaS, то есть «вымогательство как услуга»), которая обусловлена дешевизной за счет привлечения ИИ-инструментов.
По словам Александра Матвеева, наиболее опасной группировкой названа Librarian Ghouls, на которую приходится от 15 до 20% атак с вымогательством на российские организации.
— Атрибуция кибератак сложна и часто политизирована. Хакерские группы типа Librarian Ghouls часто связаны с политической повесткой, поэтому нет ничего удивительного в такой «избирательности» в отношении РФ, — пояснил директор департамента киберрасследований T.Hunter Игорь Бедеров.
Группировка активно набирает обороты и отличается тем, что пользуется готовыми программами из даркнета, созданными с помощью нелегальных ИИ-программ. Костяк составляют хакеры из Восточной Европы, добавил он.
Согласно данным «Информзащиты», в 40% случаев точкой входа становятся уязвимости в программных и аппаратных решениях, отвечающих за мониторинг и управление физическими устройствами. Многие предприятия находятся в процессе цифровизации — этим и пользуются злоумышленники. Так, в I квартале 2025 года спрос на услуги по управлению уязвимостями в России вырос на 30%. Самой атакуемой отраслью второй год подряд остается промышленность — на нее приходится около 23% всех нападений. Также в зоне высокого риска находятся ритейл (12%), телеком (10%), IT-сектор и государственные учреждения (по 9%).
— Группировка Librarian Ghouls функционирует примерно с декабря 2024 года, в зоне ее интересов преимущественно промышленные предприятия и учебные заведения. Атаки проводят очень хитро: жертвам по электронной почте рассылают фишинговые письма с зашифрованными архивами, в которых лежат вроде бы официальные документы. Открывая вложение, пользователь запускает цепочку скриптов, которая устанавливает на его ПК стороннее ПО для скрытой работы и утилиты для снятия конфиденциальных данных и криптовалютных ключей. После сбора нужной информации злоумышленники тихо устанавливают майнер криптовалюты на машину жертвы и удаляют свои следы. Это делает нападения группы особенно опасными: компании могут даже не заметить утечку данных до тех пор, пока хакеры не потребуют выкуп или не начнут использовать украденное, — добавил Игорь Бедеров.
Чем опасны взломы кибератаки
С помощью ИИ можно скопировать любой сайт до мельчайших деталей, из-за чего часто сложно определить подделку. А помощники в разработке позволяют быстро создавать целые CRM-системы, чтобы ставить обман на поток, отметил специалист «Неискусственного интеллекта» Илья Склюев.
Количество новых модификаций шифровальщиков увеличилось почти в четыре раза по сравнению с концом 2024 года, отметил Игорь Бедеров. По его данным, с вымогателями столкнулись более 85 тыс. пользователей. При этом в условиях геополитического конфликта количество группировок-агрессоров и частота их атак только увеличиваются.
Хакеры активно переключаются на стратегии двойного/тройного вымогательства, когда вместе с шифрованием данных они угрожают обнародовать похищенную информацию, чтобы максимизировать давление на жертву и увеличить шансы получить выкуп, добавил он.
Во II квартале 2025 года эксперты департамента киберразведки компании F6 наблюдают стабильно высокую активность групп-шифровальщиков. Они преследуют две цели: получение выкупа или нанесение максимального ущерба организациям. Специалисты зафиксировали большое число атак, нацеленных на Россию. В частности, были замечены противоправные действия со стороны DarkStar (ex. Shadow/c0met), Mimic ransom и Proton/Shinra.
— Большинство группировок, атакующих Россию во II квартале, по-прежнему используют утекшие в Сеть шифровальщики LockBit 3 Black и Babuk. Основные виды ущерба, который можно нанести с их помощью: кража информации, раскрытие данных об организации и, как следствие, требование выкупа, который приводит к репутационным и финансовым потерям, — пояснили в пресс-службе организации.
По мнению технического директора IT-экосистемы «Лукоморье» Алексея Щербакова, в таких объединениях, как Librarian Ghouls, часто видны лозунги борьбы за справедливость и против крупных корпораций, но по факту они просто прикрываются этими тезисами для коммерческой деятельности. По словам эксперта, их деятельность зачастую используется в интересах третьих сторон — с помощью направленных информационных вбросов ими могут управлять, добиваясь определенного эффекта в нужное для мошенников время.
Специалисты «Информзащиты» напоминают, что главное правило — не платить вымогателям. Практика показывает, что, заплатив единожды, компания с высокой вероятностью столкнется с повторной атакой.
