Вмешиваются в выборы и уводят миллиарды. Самые известные хакерские группы мира

Anonymous

Абсолютные лидеры по упоминаемости в мировых СМИ, «Анонимусы» даже не вписываются в пределы «группировки». Сейчас это международная сеть группировок, отдельные узлы которой слабо связаны между собой. Объединяет их лишь название, берущее начало в форумах зари интернета.

Примечательно, что сам термин anonymous («анонимный пользователь») появился в 2003 году совсем не в связи с хакерами. Так называли себя пользователи анонимной имиджборды 4chan, а позже под этим названием сформировалась целая сетевая субкультура, провозгласившая своими главными ценностями отсутствие цензуры, право на анонимность и свободу в интернете.

Как настоящие анархисты, анонимусы децентрализованны — у них нет и не было какого-то лидера или организатора. Только идея и постепенно сформировавшийся имидж. Символом движения стала маска Гая Фокса — да-да, та самая пресловутая маска, которой сейчас любят иллюстрировать абстрактных «злых хакеров».

Себя же анонимусы относят скорее не к черным хакерам, а к «хактивистам». Взломы для них не самоцель, а всего лишь элемент протеста, один из способов достучаться до правительств и корпораций, по их мнению ущемляющих свободу слова.

Когда стали известны: 2008–2010 годы (массовые акции против последователей сайентологии и корпораций).

Самые крупные атаки:

• DDoS-атаки на PayPal, Visa, MasterCard (2010) за блокировку пожертвований WikiLeaks.
• Атаки на правительственные сайты Туниса, Египта во время «арабской весны».

Ущерб: миллионы долларов прямых потерь, но главное — дестабилизация и массовое внимание к политическим протестам.

Lazarus Group

  Lazarus — профессиональная группа хакеров. Наиболее известна по взлому Sony Pictures и шифровальщику WannaCry, от которого пострадали более 150 стран. Имеет в своем арсенале вредоносные программы почти для всех платформ: Windows, MacOS, Linux и Android. 

Группа активна по крайней мере с 2009 года, организует широкомасштабные кампании кибершпионажа, операции с применением программ-шифровальщиков, а также атаки на криптовалютный рынок. 

В последние годы группа была сосредоточена на атаках на финансовые учреждения по всему миру. Однако с 2019 года среди целей злоумышленников оказались и предприятия оборонной промышленности. С начала 2021 года Lazarus стала проводить атаки также на исследователей в области кибербезопасности и на представителей криптоиндустрии.

Когда стали известны: с 2009 года, в медиа — после атаки на Sony Pictures (2014).

Самые крупные атаки:

• Sony Pictures (2014) — уничтожение данных, утечка фильмов и писем.
• WannaCry (2017) — глобальная эпидемия шифровальщика, пострадали сотни тысяч систем в 150 странах.
• Кража $1 млрд из Центрального банка Бангладеш (2016).

Ущерб: совокупно — миллиарды долларов. WannaCry парализовал больницы, транспорт, заводы.

REvil (a.k.a. Sodinokibi)

Организованная русскоговорящая банда киберпреступников, ставшая известной за счет атак с помощью программ-вымогателей (ransomware). В случае отказа от выплаты выкупа украденная конфиденциальная информация жертвы появлялась на странице группировки под названием Happy Blog. В 2022 году в ходе спецоперации ФСБ многих ее членов, находившихся на территории РФ, ликвидировали.

Когда стали известны: 2019 год.

Самые крупные атаки:

• Шантаж Travelex (2020).
• Атака на американского поставщика корпоративного ПО Kaseya (2021), которая ударила по тысячам компаний по всему миру.

Ущерб: ущерб от Kaseya оценивается в сотни миллионов долларов; вымогатели требовали до 70 млн выкупа.

DarkSide

Одновременно хакерская группа и производитель вредоносного ПО. По мнению экспертов кибербезопасности, состоит из опытных киберпреступников, готовых свой опыт передавать дальше.

Про эту группировку мало что известно, больше предположения. Например, из-за того что ее деятельность не замечена в странах СНГ, а вредоносное ПО группы не работает на компьютерах с русской раскладкой клавиатуры, некоторые исследователи сделали вывод, что сама группа может быть русскоязычной и просто «не бьет по своим».

Возможно, партнер или ответвление REvil — по крайней мере, программы-вымогатели они используют очень похожие. При этом они возвели это вредоносное ПО в статус услуги, став закулисным «спонсором» многих других кибератак.

DarkSide прямо или опосредованно связывают с крупнейшей атакой на инфраструктуру в истории США — кибератакой на трубопроводную систему Colonial Pipeline в 2021 году. Так как работа нефтяного трубопровода была полностью компьютеризирована, хакерам, получившим доступ к корпоративным системам, не составило труда буквально парализовать ее, вызвав дефицит топлива на Восточном побережье США.

Когда стали известны: 2020.

Самые крупные атаки: Colonial Pipeline (2021) — крупнейший трубопровод США, остановка поставок топлива на Восточном побережье.

Ущерб: паника на рынках, топливный кризис, многомиллионные убытки и выплата $4,5 млн выкупа. Всего же за период с августа 2020 года по апрель 2021-го DarkSide получила от своих жертв как минимум $90 млн в биткоинах.

Conti

Хакерская группировка Conti появилась в 2020 году и за короткое время превратилась в одну из самых заметных угроз в киберпространстве. Ее атаки были нацелены на крупнейшие корпорации по всему миру, и особенно часто — на компании из финансового сектора, здравоохранения и энергетики.

Главный инструмент Conti — социальная инженерия: злоумышленники проникают в корпоративные сети, используя доверчивость сотрудников или слабые места в защите. После этого в систему внедряется шифровальщик — вредоносная программа, которая блокирует данные и делает их недоступными. Единственный способ вернуть контроль над информацией, по условиям атакующих, — выплатить выкуп.

Нашумела эта группировка в мае 2021 года, когда атаковала систему здравоохранения Ирландии (HSE). Шифровальщик Conti парализовал IT-системы больниц по всей стране, из-за чего врачи не могли открыть онлайн-карты пациентов, записать их на прием и т. п. Хотя кибербезопасникам удалось расшифровать файлы, много личных данных в ходе атаки было украдено. Хакеры шантажировали их публикацией, если им не пойдут навстречу и не выплатят выкуп.

Когда стали известны: с 2020 года как одна из самых агрессивных групп по ransomware-атакам.

Самые крупные атаки:

• Pfizer (декабрь-2020): Conti атаковала фармацевтическую компанию, разрабатывавшую вакцину от COVID-19, украла конфиденциальные данные и потребовала выкуп $17 млн.
• Sopra Steria (октябрь-2020): французская IT-компания в сфере кибербезопасности подверглась атаке Conti; хакеры похитили данные клиентов и потребовали €50 млн.
• Brown-Forman (июль-2020): производитель алкоголя пострадал от атаки Conti, конфиденциальные данные были украдены, выкуп составил $1 млн.
• Qualys (март-2020): компания — разработчик ПО для кибербезопасности подверглась атаке Conti; данные были похищены и опубликованы в Сети.
• HSE Ирландии (май 2021 года). Больницы из-за простоя понесли убытки на более чем €100 млн.

Ущерб: мировые потери от Conti подсчитать трудно из-за множества атак на мелкий бизнес. Возможно, речь идет уже не о миллионах, а о миллиардах.

Fancy Bear и Cozy Bear

Возможно, из-за стойкой ассоциации медведей с Россией группировка Fancy Bear прочно ассоциируется в западных СМИ с «русскими хакерами», хотя доподлинно их принадлежность к какому-то конкретному государству не известна.

Эта группировка известна кибератаками на государственные, информационные, военные и другие структуры зарубежных стран. Им вместе с еще одной «медвежьей» группировкой Cozy Bear приписывают взлом почт Демократической партии США в 2016 году, что якобы могло повлиять на результаты выборов.

Для этих группировок характерен выбор довольно высокопоставленных и политически заряженных целей. Поэтому при всей их скрытности некоторые их атаки как будто нарочно придуманы, чтобы получить очередной громкий заголовок о «вмешательстве русских хакеров».

Когда стали известны: около 2004 года.

Крупные атаки:

• Кибератака на Национальный комитет Демократической партии США (2016).
• Кибершпионаж в НАТО, немецком бундестаге, французских выборах.
• Взлом Всемирного антидопингового агентства (2016) на фоне выдвинутых организацией обвинений против России в организации допинговой поддержки спортсменов.

Ущерб: политическое влияние, подрыв доверия к демократическим процессам, публикация правительственных и корпоративных данных.

Sandworm

Еще одна русскоязычная группировка. Им приписывают вмешательства в выборы во Франции (2017 год), атаку на организаторов Олимпийских игр в Пхеньяне (2017–2018), атаку на медиакомпанию в Грузии, повторяющиеся атаки на энергосети и другую инфраструктуру Украины и др.

Но вершиной деятельности этих хакеров, конечно, стала масштабная атака вирусом-шифровальщиком NotPetya, который поразил тысячи компаний по всему миру в 2017 году. Убытки от него исчисляются миллиардами долларов.

Когда стали известны: с 2014 года.

Крупные атаки: Отключение энергосетей на Украине (2015, 2016, 2022 годы). NotPetya (2017) — самая разрушительная атака шифровальщиком, фактически кибербомба. Атака на мобильного оператора «Киевстар».

Ущерб: свыше $10 млрд по всему миру, включая Maersk, Merck, FedEx.

Evil Corp

Британская разведывательная служба [считает](https://tass.ru/mezhdunarodnaya-panorama/7277107 эту русскоязычную группировку «одной из самых вредоносных в мире». Ее целью часто становятся банки и другие финансовые институты, и только в Великобритании ущерб от действий Evilcorp исчисляется сотнями миллионов фунтов стерлингов.

Лидер группы Максим Якубец объявлен в международный розыск, в США за его поимку готовы заплатить $5 млн.   Но «засвеченность» не мешает им быть суперуспешными по меркам преступного мира: в 2022 году они буквально подмяли под себя рынок программ-вымогателей, заработав за год свыше $55 млн, или около 10% всего «рынка», по данным американской аналитической компании Chainalysis.   Также авторству этой группировки принадлежит один из известнейших банковских троянов Drideх.

Когда стали известны: с 2009 года.

Крупные атаки: Dridex (2014–2019 годы) — один из крупнейших банковских троянов, укравший более $31 млн. Множество кампаний по вымогательству и краже средств из банков.

Ущерб: более $100 млн прямого ущерба; американские санкции против участников.

Killnet

Killnet — это не продвинутые преступные хакеры вроде Sandworm или Lazarus, а скорее активисты с мегафоном, от которых больше шума, чем ущерба. СМИ любят их за эпатаж, но профессионалы в кибербезопасности относят их к среднеопасным: вред есть, но он в основном в сфере публичного давления и политики.

Излюбленный инструмент — DDoS-атаки (перегруз сайтов и сервисов запросами), которые могут тем не менее больно аукнуться.

Считается, что у этой группировки даже нет жесткой структуры: как и в случае с Anonymous, любой может представиться хакером Killnet и атаковать от имени этой группировки.

Когда стала известна: в начале 2022 года. Заявили о себе как о «патриотических хактивистах» в поддержку России.

Самые крупные атаки:

• 2022-й — атаки на сайты правительств Литвы, Эстонии, Румынии, США и Германии.
• Октябрь-2022 — атака на сайты Европейского парламента после того, как тот назвал Россию «государством — спонсором терроризма».
• 2023-й — DDoS-атаки на аэропорты США, включая крупные хабы (Atlanta, Los Angeles, Chicago).
• 2023-й — атаки на сайты медицинских учреждений и банков в Европе.

Ущерб: в основном временные перебои в работе сайтов и онлайн-сервисов (от нескольких часов до пары суток). Прямого финансового ущерба в масштабах «миллиарды долларов» нет, но бизнесы и госорганы теряли деньги на простоях и репутации. Главный эффект — медиашум и информационный резонанс, особенно в Европе и США.

Разумеется, это далеко не полный список хакерских групп, которые сейчас продолжают предпринимать масштабные и громкие атаки.

Попытки украсть или выманить шантажом миллионы долларов, сломать инфраструктуру, обрушить сайты и другим образом повлиять на общий ландшафт информационной безопасности предпринимаются ежедневно. Свои группировки есть и в странах Африки, Латинской Америки, Азии и Ближнего Востока. Меняются цели и методы, но, до тех пор пока взломы и атаки эффективны и приносят доход, будут появляться новые и новые хакеры.