APT-группировки против российского бизнеса. Защита от целевых атак

APT-группировки против российского бизнеса. Защита от целевых атак
23 декабря 2025

Каждую неделю в России происходит компрометация инфраструктуры очередной компании. Атакующие проводят внутри сети месяцы, выгружают терабайты данных и уходят незамеченными. Причина — не массовые вирусные эпидемии, а точечные операции профессиональных хакерских группировок. Разбираемся, кто стоит за этими атаками, какие отрасли находятся под прицелом и что реально может защитить от атак.


Что такое APT-атака и почему обычный антивирус бессилен

APT (Advanced Persistent Threat) — это многоэтапная кибератака, которая может развиваться неделями или даже годами. Злоумышленники не торопятся: сначала изучают жертву, находят слабые места, проникают внутрь и закрепляются в инфраструктуре. По данным Mandiant M-Trends 2024 медианное время присутствия атакующих в сети до момента обнаружения составляет 11 дней. При отсутствии внутреннего мониторинга этот срок растягивается до нескольких месяцев.



Обычные средства защиты — антивирусы и межсетевые экраны — против APT практически бесполезны. Атакующие используют вредоносное ПО, специально разработанное под конкретную организацию. Сигнатуры такого софта отсутствуют в базах антивирусных вендоров, а поведенческие паттерны маскируются под легитимные действия сотрудников.



Масштаб угрозы для российских компаний в 2025 году

Геополитическая ситуация превратила российский бизнес в приоритетную цель для кибергруппировок разного толка. По данным аналитиков F6, в 2025 году обнаружено 27 прогосударственных APT-групп, активно атакующих организации в России и СНГ. Для сравнения: годом ранее их насчитывалось 24При этом семь новых группировок были раскрыты впервые: Silent Lynx, Telemancon, Mythic Likho, NGC6061, NGC4141, SkyCloak, NGC5081.

Специалисты «Лаборатории Касперского» идентифицировали 14 наиболее активных кибергрупп, регулярно атакующих российские организации. 

Исследователи разделили их на три категории: хактивисты (TWELVE, BlackJack, Head Mare, C.A.S, Crypt Ghouls), APT-группы с фокусом на кибершпионаж (Awaken Likho, Angry Likho, GOFFEE, Cloud Atlas, Librarian Likho, Mythic Likho, XDSpy) и гибридные формирования с уникальным почерком (BO Team, Cyberpartisans).

По данным центра исследования кибеугроз Solar 4RAYS (ГК «Солар»), в 2025 году наблюдается следующая статистика расследованных инцидентов и активности злоумышленников:

- За первое полугодие 2025 года число расследованных инцидентов в расчете на одну отрасль выросло, хотя география атак сузилась: эксперты работали в организациях из 6 индустрий (против 10 за тот же период 2024 года), что указывает на более тщательный выбор жертв хакерами.

- К ноябрю 2025 года специалисты выявили 18 новых профессиональных хакерских группировок, атакующих российские компании.

- Доля присутствия APT-группировок в инфраструктурах российских компаний к концу года достигла 35%, что на 10 п.п. выше показателей середины 2025 года.


Какие отрасли атакуют чаще всего


Таблица 1. Распределение целевых атак по отраслям экономики в 2025 году

Отрасль  Доля атак Основные цели злоумышленников

Промышленность

20%

Промышленный шпионаж, саботаж, остановка производства

ИТ-отрасль

16%

Доступ к инфраструктуре клиентов, компрометация цепочки поставок

Государственные организации

33%

Кибершпионаж, политически мотивированные акции

Энергетика

9%

Саботаж критической инфраструктуры


Примечательно, что малый и средний бизнес всё чаще становится жертвой не ради прямой выгоды, а как «ступенька» к более крупным организациям. Хакеры получают доступ к небольшой компании, которая является поставщиком или подрядчиком крупного холдинга, и через неё проникают в целевую инфраструктуру.


Кто атакует: профили активных группировок


GOFFEE (Paper Werewolf)

Группировка отслеживается с начала 2022 года и атакует исключительно организации в России. Специалисты Positive Technologies

зафиксировали случаи полной остановки бизнес-процессов в пострадавших компаниях. Целевые секторы — медиа, телекоммуникации, строительство, государственные учреждения и энергетика.

Особенность GOFFEE — продвинутые методы маскировки. Группа использует упаковщик Ebowla, обфускатор garbler для Golang-кода и собственные алгоритмы шифрования. Управляющие серверы размещаются преимущественно на российских хостингах (MivoCloud, Aeza, XHost), что маскирует вредоносный трафик под внутреннюю активность и помогает обходить геолокационные фильтры.

Во втором полугодии 2024 года группа перешла на использование PowerTaskel — непубличного модульного агента для платформы Mythic. В арсенале также появился новый имплант PowerModul, расширивший возможности закрепления в инфраструктуре.


Cloud Atlas

Группировка специализируется на атаках предприятий оборонно-промышленного комплекса. В ноябре 2024 года зафиксирована кампания с обновлённой сетевой инфраструктурой: домены, TLS-сертификаты и DNS-записи были подготовлены в октябре-ноябре, а сами атаки начались в январе 2025 года.

Cloud Atlas использует технику BEC-атаки (Business Email Compromise): рассылает письма от имени скомпрометированной организации её контрагентам. Получатель видит знакомый адрес отправителя, что многократно повышает вероятность открытия вредоносного вложения.


Sapphire Werewolf

Нацелена на топливно-энергетические компании в России. Использует обновлённую версию Amethyst Stealer — вредоноса для кражи учётных данных. Типичный сценарий: фишинговое письмо от имени отдела кадров с вложением «Служебная записка.rar», внутри которого исполняемый файл с иконкой PDF-документа.

Amethyst Stealer выгружает аутентификационные данные из Telegram, Chrome, Opera, Яндекс.Браузера, Brave, Edge, FileZilla, SSH-конфигурации, а также файлы настройки VPN-клиентов и удалённых рабочих столов.


BO Team

Проукраинская группировка, совмещающая хактивизм с финансовыми мотивами. В 2025 году провела не менее 55 атак. Тактика — рассылка писем с угрозами и требованием выкупа в биткоинах. Атакующие заявляют, что уже находятся внутри инфраструктуры, и грозят уничтожением данных при отказе платить.

Эксперты УЦСБ категорически не рекомендуют вступать в переговоры: злоумышленники нередко шифруют данные или публикуют их даже после получения выкупа.


Анатомия целевой атаки: как это работает на практике

Целевая атака — это не единичный «взлом», а последовательность тщательно спланированных этапов.

Разведка. Злоумышленники изучают структуру организации, технологический стек, ключевых сотрудников. Источники — открытые данные (сайт, соцсети, вакансии), утёкшие базы, даркнет-форумы. На этом этапе формируется профиль жертвы и выбирается вектор атаки.

Проникновение. Чаще всего — фишинговое письмо с вредоносным вложением или ссылкой. Письмо может имитировать переписку с реальным контрагентом или содержать документ от имени регулятора. Альтернативные векторы: эксплуатация уязвимостей в публично доступных сервисах (VPN, почтовые шлюзы), атаки через поставщиков.

Закрепление. После первичного заражения атакующие устанавливают постоянный канал связи с управляющим сервером (C2 - Command & Control). Используются легитимные инструменты удалённого администрирования (AnyDesk, Putty), туннелирование через DNS или HTTPS, размещение бэкдоров в системных процессах.

Горизонтальное перемещение. Злоумышленники получают учётные данные привилегированных пользователей и расширяют контроль над инфраструктурой. Применяются инструменты Mimikatz, LaZagne, эксплуатация уязвимостей Active Directory.

Достижение цели. В зависимости от мотивации — кража данных, шифрование инфраструктуры с требованием выкупа, саботаж бизнес-процессов или долгосрочный шпионаж.


Финансовые последствия: сколько стоит атака

Максимальная сумма первоначального выкупа, заявленная группировкой CyberSec's в 2025 году, составила 50 BTC — порядка 500 миллионов рублей на момент атаки. Это почти вдвое больше рекорда 2024 года (240 миллионов рублей). 

Таблица 2. Типичные суммы выкупа в 2025 году

Сегмент  Диапазон первоначального требования

Крупный бизнес

4 000 000 – 40 000 000 руб.

Средний бизнес

1 500 000 – 10 000 000 руб.

Малый бизнес

240 000 – 4 000 000 руб.


Для субъектов критической информационной инфраструктуры добавляется юридический риск: инциденты регулируются 187-ФЗ и приказами ФСТЭК. Несвоевременное уведомление регуляторов грозит штрафами и репутационными потерями.


Инструменты атакующих: что используют хакеры

Исследователи центра Solar 4RAYS проанализировали арсенал APT-группировок, атакующих российские компании.

Рисунок 1. Распределение используемых инструментов по категориям 





Стилеры ориентированы на массовый сбор аутентификационных данных из браузеров, мессенджеров, VPN-клиентов. APT-инструменты — это модульные импланты с возможностью скрытого присутствия, выполнения произвольных команд и эксфильтрации данных. Средства удалённого доступа включают как легитимное ПО (AnyDesk, TeamViewer), так и специализированные RAT-трояны.


Почему традиционные средства защиты не работают

Классическая модель безопасности строилась на защите периметра: межсетевой экран на границе сети, антивирус на рабочих станциях, фильтрация почты. Против APT-атак эта схема малоэффективна по нескольким причинам.

Во-первых, периметр «размылся». Удалённая работа, облачные сервисы, мобильные устройства сотрудников — всё это создаёт множество точек входа, которые невозможно защитить традиционными средствами.

Во-вторых, атакующие используют вредоносное ПО, написанное специально под жертву. Сигнатуры такого софта отсутствуют в базах антивирусов. Поведенческий анализ тоже часто бессилен: злоумышленники имитируют легитимные действия и используют для перемещения по сети штатные инструменты администрирования.

В-третьих, традиционные средства не предназначены для обнаружения уже проникшего в сеть атакующего. Они работают на предотвращение первичного заражения, но если злоумышленник уже внутри — остаются слепы.


Эффективная защита от APT: комплексный подход

Защита от целевых атак требует многоуровневой архитектуры безопасности. Ни один инструмент по отдельности не обеспечит достаточной защиты — нужна система взаимодополняющих мер.


Мониторинг и обнаружение

SIEM-системы (Security Information and Event Management) собирают логи со всех компонентов инфраструктуры и выявляют аномальную активность. Решения класса SIEM позволяют обнаруживать инциденты на ранней стадии, включая признаки целенаправленных атак. Важно не просто установить SIEM, но и настроить корреляционные правила под специфику инфраструктуры, а также обеспечить мониторинг в режиме 24/7.

EDR-решения (Endpoint Detection and Response) контролируют активность на конечных устройствах — рабочих станциях и серверах. В отличие от антивирусов, EDR фиксирует всю цепочку событий: запуск процессов, сетевые подключения, изменения файловой системы. Это позволяет выявлять вредоносную активность даже без сигнатур и восстанавливать хронологию инцидента.

XDR (Extended Detection and Response) –класс систем информационной безопасности (ИБ), предназначенных для автоматического проактивного выявления угроз на разных уровнях инфраструктуры, реагирования на них и противодействия сложным атакам. Термин означает «расширенное обнаружение и реагирование» – XDR объединяет данные из разных источников, включая конечные точки, сеть, облако и серверы электронной почты. XDR следующий эволюционный шаг, основанный на EDR-решениях.

NTA-системы (Network Traffic Analysis) анализируют сетевой трафик, включая зашифрованный. Выявляют аномальные паттерны: необычные объёмы данных, подключения к нетипичным внешним адресам, признаки туннелирования.


Предотвращение проникновения

Песочницы (Sandbox) — изолированные среды для безопасного выполнения подозрительных файлов. Каждое вложение электронной почты, скачанный файл или полученная ссылка проверяется в песочнице до попадания к пользователю. Это позволяет обнаружить вредоносное ПО, специально разработанное под конкретную организацию.

WAF (Web Application Firewall) защищает веб-приложения от эксплуатации уязвимостей. Для компаний с публично доступными порталами, личными кабинетами и API — критически важный компонент.

Контроль доступа. Принцип минимальных привилегий: каждый пользователь и сервис получают только те права, которые необходимы для выполнения задач. Обязательны многофакторная аутентификация и VPN для доступа в административные зоны и критичные приложения.


Архитектурные меры

Сегментация сети ограничивает возможности горизонтального перемещения атакующего. При компрометации одного сегмента злоумышленник не получает автоматического доступа к остальным. Отдельные VLAN для пользователей, серверов, АСУ ТП, DMZ — обязательный минимум.

Модель Zero Trust предполагает, что доверять нельзя никому — ни внутренним пользователям, ни устройствам. Каждый запрос на доступ верифицируется независимо от местоположения источника.


Организационные меры

Обучение персонала. Фишинг остаётся главным вектором проникновения. Регулярные тренинги и тестовые фишинговые рассылки снижают вероятность успешной социальной инженерии. Сотрудники должны знать признаки подозрительных писем и алгоритм действий при их получении.

Управление уязвимостями. Своевременная установка патчей критических уязвимостей. Особое внимание — публично доступным сервисам: VPN-шлюзам, почтовым серверам, веб-приложениям.

Резервное копирование. Изолированные резервные копии критических данных — последняя линия обороны при атаке шифровальщика. Копии должны храниться отдельно от основной инфраструктуры и регулярно проверяться на возможность восстановления.


Мини-кейс: как атака парализует бизнес

Ситуация. Производственная компания среднего размера (150 сотрудников) получила фишинговое письмо, замаскированное под уведомление от логистического партнёра. Вложенный файл «Накладная_2024-11.pdf.exe» был открыт менеджером по закупкам.

Развитие атаки. В течение первых суток вредоносный код установил связь с управляющим сервером и выгрузил учётные данные из браузера. Через три дня злоумышленники получили доступ к контроллеру домена. К концу второй недели была скомпрометирована вся Windows-инфраструктура, включая файловые серверы и 1С.

Последствия. На 15-й день атакующие активировали шифровальщик. Производство остановилось на 8 рабочих дней. Прямые убытки составили более 12 миллионов рублей (потеря выручки, срыв контрактов, экстренное восстановление). Выкуп компания платить отказалась. Восстановление заняло три недели, часть данных оказалась утрачена безвозвратно.

Что пошло не так. Отсутствовал EDR на рабочих станциях. SIEM-система была установлена, но не настроена на выявление горизонтального перемещения. Резервные копии хранились на сетевых дисках и были зашифрованы вместе с основными данными. Сотрудники не проходили обучение по информационной безопасности.


Требования регуляторов: что нужно знать

Для субъектов критической информационной инфраструктуры (КИИ) защита от целевых атак — не только вопрос бизнес-рисков, но и законодательное требование. Федеральный закон №187-ФЗ обязывает такие организации категорировать свои объекты, обеспечивать их безопасность и подключаться к системе ГосСОПКА.

Приказы ФСТЭК устанавливают конкретные требования к составу защитных мер в зависимости от категории значимости объекта КИИ. Методика оценки угроз безопасности информации ФСТЭК от 05.02.2021 определяет порядок анализа возможных нарушителей и угроз.

После устранения инцидента необходимо сохранить артефакты, задокументировать ход расследования и уведомить регуляторов в установленные сроки. Нарушение этих требований влечёт административную ответственность.


Когда обращаться к специалистам

Построение эффективной защиты от APT-атак требует глубокой экспертизы и значительных ресурсов. Ряд задач целесообразно передать специализированным компаниям:

Аудит информационной безопасности позволяет объективно оценить текущее состояние защиты, выявить уязвимости и сформировать приоритизированный план мероприятий. 

Анализ защищённости (пентест) показывает, насколько реально проникнуть в инфраструктуру извне или изнутри. Результаты помогают сфокусировать усилия на наиболее критичных уязвимостях.

Проектирование и внедрение систем защиты — от выбора конкретных решений до их настройки под специфику инфраструктуры.

Категорирование объектов КИИ и подготовка документации для регуляторов — обязательная процедура для организаций, подпадающих под действие 187-ФЗ.

Расследование инцидентов — восстановление хронологии атаки, выявление всех скомпрометированных активов, подготовка рекомендаций по устранению последствий и предотвращению повторных атак.

Компания «БелИнфоналог» реализует комплексные проекты в сфере информационной безопасности с 2011 года. Специализированный отдел информационной безопасности выполняет проекты любого уровня сложности — от обследования до создания и сопровождения комплексных систем защиты информации. География работ охватывает всю Россию: от Калининграда до Камчатки.


Часто задаваемые вопросы

- Может ли малый бизнес стать целью APT-атаки?

Да, и это происходит всё чаще. Злоумышленники используют небольшие компании как точку входа для атаки на более крупных партнёров или заказчиков. Кроме того, требования к выкупу для малого бизнеса ниже (от 240 тысяч рублей), что при массовых атаках делает их финансово привлекательными.


- Как понять, что компания уже атакована?

Признаки скрытого присутствия злоумышленников: необычная активность в ночное время, нетипичный исходящий трафик, появление неизвестных учётных записей, жалобы пользователей на медленную работу без видимых причин. Для гарантированного выявления требуется специализированный инструментарий и экспертиза — самостоятельно обнаружить присутствие APT крайне сложно.


- Сколько стоит защита от целевых атак?

Стоимость зависит от масштаба инфраструктуры и выбранного набора решений. Базовый набор для средней компании (SIEM + EDR + обучение персонала) обходится от 2-3 миллионов рублей в год. Полноценный SOC с круглосуточным мониторингом — значительно дороже. Однако эти расходы несоизмеримы с потенциальным ущербом: одна успешная атака шифровальщика может стоить бизнесу десятки миллионов рублей.


- Обязательно ли подключаться к ГосСОПКА?

Подключение обязательно для субъектов критической информационной инфраструктуры. Со следующего года подключение обязательно для всех государственных учреждений. Для остальных организаций — добровольно, но даёт доступ к оперативной информации об угрозах и возможность взаимодействия с центром реагирования на инциденты.


- Какие решения эффективны против фишинга?

Комплекс мер: шлюз фильтрации почты с песочницей, SPF/DKIM/DMARC-политики для домена, регулярное обучение сотрудников, симуляция фишинговых атак для проверки готовности персонала. Ни одно техническое решение не даёт стопроцентной защиты — человеческий фактор остаётся критичным.


Заключение

APT-атаки — это не гипотетическая угроза, а повседневная реальность для российского бизнеса. В 2025 году активность хакерских группировок продолжает расти, а их методы становятся изощрённее. Традиционные средства защиты не справляются с этим вызовом.

Эффективная защита требует комплексного подхода: мониторинг и обнаружение на всех уровнях инфраструктуры, превентивные технические меры, архитектурные решения (сегментация, Zero Trust) и постоянная работа с персоналом. Проще и дешевле внедрить превентивные меры, чем разбираться с последствиями многомесячного присутствия злоумышленников в сети.