Инженеры и промышленники стали чаще подвергаться кибератакам, опередив финансистов

С начала 2025 года промышленность и инженерия стали второй по количеству кибератак сферой, опередив финансовый сектор и логистику. Согласно информации от Bi.Zone Threat Intelligence, которую предоставили CNews, на эти отрасли пришлось 12% всех кибератак, что немного меньше, чем у государственного сектора (13%). На данный момент 63 кибергруппировки нацелены на российские промышленные и инженерные предприятия. Из них 32 группировки действуют в целях шпионажа. Такие злоумышленники стремятся как можно дольше оставаться незамеченными в инфраструктуре, похищая конфиденциальные данные. Для этого они разрабатывают собственные вредоносные инструменты и выстраивают сложные цепочки атак. Олег Скулкин, руководитель Bi.Zone Threat Intelligence, сообщил о серии атак на российские промышленные и инженерные организации со стороны шпионского кластера Arcane Werewolf в октябре — ноябре текущего года. Злоумышленники отправляли жертвам фишинговые письма со ссылками на вредоносное ПО. Они тщательно продумали маскировку: сетевой ресурс, откуда загружалась вредоносная программа, был замаскирован под сайт организации из той же группы компаний, на которую была направлена атака. Перейдя по ссылке, жертва видела страницу, имитирующую корпоративный файлообменник. Она была выполнена в стиле и цветах настоящего сайта компании, за представителей которой выдавали себя злоумышленники. На странице «файлообменника» присутствовал логотип предприятия, а адрес сайта был похож на официальные ресурсы организации. С «файлообменника» на устройство жертвы скачивался ZIP-архив с фотографиями оборудования и вредоносным LNK-файлом, замаскированным под служебный документ в формате PDF. При открытии «документа» с сетевого ресурса злоумышленников загружался и запускался дроппер — вредоносная программа, которая содержала отвлекающий файл в виде официального документа и загрузчик Loki. Загрузчик собирал базовую информацию о скомпрометированном хосте и отправлял её злоумышленникам, а также загружал с сервера и запускал имплант Loki, который выполнял функции трояна удалённого доступа, позволяя атакующим скрытно выполнять на устройстве жертвы различные команды. Ранее в 2025 году специалисты Bi.Zone Threat Intelligence фиксировали атаки на российскую промышленность с использованием уязвимости в популярном архиваторе WinRAR. Предположительно, злоумышленники приобрели эксплойт для этой уязвимости на теневом форуме.