Кибердетективы в действии: Как эксперты распутывают цифровые преступления в условиях новой угрозы

Лаборатория цифровой криминалистики и исследования вредоносного ПО является одной из самых старых структур компании F6. Специалисты Лаборатории, как ее ласково называют внутри организации, провели более 70 000 часов в реагировании на инциденты по всему миру и выполнили свыше 3500 экспертиз и исследований. Лаборатория является одним из основных источников данных для решений F6, касающихся тактик, техник и процедур, которыми руководствуются киберпреступные группировки в своих атаках. Эти данные специалисты получают, занимаясь реагированием на инциденты и проводя различные исследования. Мы долго ждали, когда у руководителя Лаборатории Антона Величко освободится время, чтобы обсудить особенности национальной кибербезопасности: «Сейчас объем работы значительно увеличился. Последние два года мы неделями не выходим из режима реагирования».

Подробное интервью и интересные факты можно найти в блоге на сайте F6. Ниже представлены ключевые моменты из публикации.

До февраля 2022 года, с точки зрения кибербезопасности, Россия находилась в довольно спокойной обстановке. Конечно, имели место атаки на корпоративный сектор со стороны различных групп, таких как OldGremlin, Buhtrap, а также от некоторых организаций с Ближнего Востока, например, LokiLocker/BlackBit и RCRU64. Однако число атак и причиняемого ими ущерба было значительно ниже по сравнению с сегодняшним днем. Большинство атак было направлено в основном на Запад. С началом СВО правило «Не работаем по .ru» для многих игроков из постсоветского пространства утратило силу, и они начали нацеливаться на Россию.

В настоящее время в России под угрозой находятся, вероятно, все компании, включая малые предприятия. Обычно небольшие организации становятся объектом атак ради финансовой выгоды. Что касается средних и крупных компаний, вероятность атаки зависит от их сферы деятельности. Если есть возможность заработать на взломе такой компании и не возникнет общественного резонанса, то атака пройдет. Если же компания связана с государственными структурами или обрабатывает персональные данные, злоумышленники, скорее всего, попытаются украсть информацию, а затем вывести из строя инфраструктуру – такие атаки стали более частыми в последнее время.

Данные за первые месяцы 2025 года подтверждают прогноз нашей компании о росте кибератак на Россию: они продолжают с неизменной тенденцией увеличиваться. Основной долей этих атак являются инциденты с использованием программ-вымогателей. Текущая геополитическая ситуация привлекла киберпреступников и тех, кто желает воспользоваться обстоятельствами в своих интересах. В таких условиях становится все труднее предсказать цели злоумышленников.

За последние два года программы-вымогатели LockBit 3 и Babuk стали особенно популярны среди атакующих, и злоумышленники часто используют их совместно для атак на разные программные платформы. Шифровальщик LockBit 3 уже можно считать “автоматом Калашникова” в мире вымогателей. Создатели этого инструмента, вероятно, не ожидали, что он будет активно применяться против России.

С начала 2025 года наблюдается увеличение количества атак с политической мотивацией против России. Если в прошлом году мы фиксировали много инцидентов, когда злоумышленники использовали программное обеспечение для шифрования данных, то теперь наблюдаем больше случаев, когда данные просто удаляются, иногда с полным уничтожением дискового пространства и разрушением массивов. Грубо говоря, они выжигают всё.

Полное интервью доступно на сайте F6.