Російська хакерська група Sandworm розгорнула нове шкідливе програмне забезпечення в Україні

Підтримуване Росією хакерське угруповання Sandworm розгорнуло в Україні нові програми для знищення даних у другому і третьому кварталах 2025 року. Про це 7 листопада повідомляє Infosecurity Magazine з посиланням на звіт словацької компанії з кібербезпеки ESET.

За даними ESET, Sandworm застосовувала шкідливі програми типу data wiper, зокрема Zerolot і Sting, проти українських державних установ, енергетичних і логістичних компаній, а також підприємств зернового сектору. У компанії вважають, що метою атак було послаблення української економіки.

ESET зазначає, що Sandworm, також відома під назвами APT44, Telebots, Voodoo Bear, Iridium, Seashell Blizzard і Iron Viking, пов’язується з військовою розвідкою Росії (ГРУ), зокрема з підрозділом МУН 74455.

Окрім Sandworm, інші проросійські групи також продовжували атаки проти України та країн, які мають із нею стратегічні зв’язки, одночасно розширюючи операції на європейські компанії. Поки Sandworm зосереджувалась на дестабілізації, інші угруповання здійснювали кібершпигунство, використовуючи фішингові кампанії та шкідливі програми з віддаленим доступом.

Найактивнішою залишалася група Gamaredon, яка помітно збільшила кількість атак. За спостереженнями ESET, вона вперше співпрацювала з іншим російським угрупованням Turla, використавши один із його бекдорів. Це свідчить про зростання координації між російськими хакерами.

Інша група, InedibleOchotense, проводила фішингову кампанію, видаючи себе за саму компанію ESET. Для зараження комп’ютерів використовувались підроблені інсталятори антивірусного програмного забезпечення, які завантажували разом зі справжнім продуктом шкідливий код Kalambur backdoor.

Ще одне російське угруповання, RomCom, використало вразливість zero-day у WinRAR для розгортання бекдорів у компаніях фінансового, виробничого, оборонного й логістичного секторів у ЄС і Канаді.

ESET також відзначила активність хакерів, пов’язаних із Китаєм, Іраном і Північною Кореєю. Китайські групи зосереджувались на кібершпигунстві в Азії, Латинській Америці, США та Європі. Іранські хакери вдосконалювали фішингові атаки з використанням зламаних внутрішніх поштових скриньок. Північнокорейські групи розширили операції у сфері викрадення криптовалют і шпигунства проти дипломатів і науковців у Південній Кореї.

За оцінками експертів, Росія зберігає найвищу інтенсивність кібератак у світі, використовуючи різні групи для підриву безпеки України та союзних держав.

Нагадаємо, російські й проросійські в інших країнах хакери цілеспрямовано атакують об’єкти партнерів і союзників України.

Протягом останніх двох років російські хакери, пов’язані з державою, неодноразово атакували міську раду Ліверпуля — і ці атаки є частиною стратегії, спрямованої на завдання великих фінансових збитків містам, урядам і підприємствам, і вони виходять далеко за межі кіберпростору. Наприклад, у Фінській затоці збитки, завдані підводним кабелям судна Eagle S у грудні, склали десятки мільйонів євро — і це лише один випадок.