Российская хакерская группа Sandworm развернула новое вредоносное программное обеспечение в Украине

Поддерживаемая Россией хакерская группировка Sandworm развернула в Украине новые программы по уничтожению данных во втором и третьем кварталах 2025 года. Об этом 7 ноября сообщает Infosecurity Magazine со ссылкой на отчет словацкой компании по кибербезопасности ESET.

По данным ESET, Sandworm применяла вредоносные программы типа data wiper, в том числе Zerolot и Sting, против украинских государственных учреждений, энергетических и логистических компаний, а также предприятий зернового сектора. В компании считают, что целью атак было ослабление украинской экономики.

ESET отмечает, что Sandworm, также известная под названиями APT44, Telebots, Voodoo Bear, Iridium, Seashell Blizzard и Iron Viking, связывается с военной разведкой России (ГРУ), в том числе подразделением МУН 74455.

Кроме Sandworm, другие пророссийские группы также продолжали атаки против Украины и стран, имеющих с ней стратегические связи одновременно расширяя операции на европейские компании. Пока Sandworm сосредотачивалась на дестабилизации, другие группировки осуществляли кибершпионаж, используя фишинговые кампании и вредоносные программы с удаленным доступом.

Наиболее активной оставалась группа Gamaredon, заметно увеличившая количество атак. По наблюдениям ESET, она впервые сотрудничала с другой российской группировкой Turla, использовав один из его бэкдоров. Это свидетельствует о росте координации меж русскими хакерами.

Другая группа, InedibleOchotense, проводила фишинговую кампанию, выдавая себя за саму компанию ESET. Для заражения компьютеров использовались поддельные инсталляторы антивирусного программного обеспечения, которые вместе с настоящим продуктом загружали вредоносный код Kalambur backdoor.

Еще одна российская группировка, RomCom, использовала уязвимость zero-day в WinRAR для развертывания бэкдоров в компаниях финансового, производственного, оборонного и логистического секторов в ЕС и Канаде.

ESET также отметила активность хакеров, связанных с Китаем, Ираном и Северной Кореей. Китайские группы сосредотачивались на кибершпионаже в Азии, Латинской Америке, США и Европе. Иранские хакеры совершенствовали фишинговые атаки с использованием сломанных внутренних почтовых ящиков. Северокорейские группы расширили операции по похищению криптовалют и шпионажа против дипломатов и ученых в Южной Корее.

По оценкам экспертов, Россия сохраняет высокую интенсивность кибератак в мире, используя различные группы для подрыва безопасности Украины и союзных государств.

Напомним, российские и пророссийские в других странах хакеры целенаправленно атакуют объекты партнеров и союзников Украины.

В последние два года российские хакеры, связанные с государством, неоднократно атаковали городской совет Ливерпуля — и эти атаки являются частью стратегии, направленной на нанесение большого финансового ущерба городам, правительствам и предприятиям, и они выходят далеко за пределы киберпространства. Например, в Финском заливе ущерб, нанесенный подводным кабелям судна Eagle S в декабре, составил десятки миллионов евро — и это лишь один случай.