Ранее целью большинства атак был шпионаж, а теперь — получение прибыли. Злоумышленники зарабатывают на вымогательстве и продаже инструментов для атак.
Эксперты BI.ZONE Threat Intelligence выявили рост кибератак на промышленный комплекс. На протяжении 2025 года доля атак на отрасль колебалась на уровне 5–6%, а в первом полугодии 2026-го увеличилась вдвое, достигнув 11%.
При этом изменилась мотивация злоумышленников. Если раньше почти половина атак (47%) была связана со шпионажем, то теперь столько же из них мотивирована получением прямой финансовой выгоды.
Так, в мае и июне 2026 года промышленные предприятия подверглись серии атак со стороны финансово мотивированной группировки Clubfoot Wolf. Чаще всего злоумышленники выбирали в качестве мишени небольшие организации из химической промышенности. Скорее всего, группировка предпочла не концентрироваться на нескольких крупных и потенциально хорошо защищенных целях, а сделала ставку на массовость атак и слабый уровень защиты инфраструктуры у компаний меньшего размера.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence:
| Кластер Clubfoot Wolf маскировал свои письма под запросы коммерческих предложений или выставление счета. В теме письма злоумышленники добавляли приписку Fwd: («переслано»), чтобы жертва подумала, что уже общалась с отправителем, и открыла вложение.
В приложенном к письму ZIP-архиве находились отвлекающие файлы, а также ПО для удаленного администрирования NetSupport Manager. Этот легитимный инструмент позволял удаленно выполнять команды на компьютере жертвы, одновременно снижая шансы средств защиты обнаружить атаку. А чтобы затруднить анализ и выявление конечных URL-адресов, группировка использовала сервисы сокращения ссылок. |
О растущем интересе киберпреступников к российской промышленности также свидетельствует продажа специальных инструментов для атак на отрасль. Так, в июне группировка Wrecking Hyena продавала в своем телеграм-канале за 500 долларов обновленную версию фреймворка, охватывающего полный цикл атак на промышленную инфраструктуру: от сканирования и разведки до эксфильтрации и хранения данных. Инструмент также позволял анализировать уязвимости в атакуемых системах, эксплуатировать промышленные протоколы, осуществлять DDoS-атаки и компрометировать удаленный доступ. Интересно, что члены Wrecking Hyena изначально позиционировали себя как хактивисты: они заявляли, что действуют исключительно по идеологическим мотивам, а не ради финансовой выгоды.
Актуальную информацию о методах и инструментах, которые используются в кибератаках, предоставляют порталы киберразведки, например BI.ZONE Threat Intelligence. Здесь пользователи могут найти свежие и полные данные об угрозах, актуальных именно для их отрасли и региона.
Источник: BI.ZONE
