Группировка Trickbot собиралась открыть шесть офисов в Санкт-Петербурге

Группировка Trickbot собиралась открыть шесть офисов в Санкт-Петербурге

Группировка Trickbot собиралась открыть шесть офисов в Санкт-Петербурге

Раздобытая WIRED переписка главарей преступной группы дает представление об организации работ в рамках масштабного проекта Trickbot и ключевых фигурах, ответственных за вредоносные операции. Не публиковавшиеся ранее документы содержат сотни внутренних сообщений, в том числе отосланных летом и осенью 2020 года — в период, когда лидеры ОПГ строили планы по расширению криминального бизнеса.

В частности, к концу сентября 2020 года операторы трояна собирались открыть шесть новых офисов со штатом в 50-80 человек. По всей видимости, речь шла о Санкт-Петербурге; представитель Mandiant в своем комментарии отметила, что, по их наблюдениям, такой выбор наиболее вероятен.

Амбициозные планы группировки, стоящей за Trickbot, расстроили попытка ликвидации инфраструктуры зловреда, предпринятая борцами с ботнетами, и последовавшие за этим аресты. Удар был довольно сильным, но не катастрофическим; ботоводы быстро оправились и вновь стали наращивать мощности, продолжая совершенствовать своего зловреда.

В настоящее время в ОПГ, по оценкам экспертов, входит от 100 до 400 участников; возглавляют ее несколько человек с разными сферами ответственности. Судя по переписке (обычно в Jabber), самым главным боссом является некий Stern. По данным Hold Security, круг обязанностей этого лица соответствует должности исполнительного директора компании.

В середине 2020 года Stern обсуждал текущие расходы с другим функционером, Target. Из беседы стало ясно, что преступная группа тратит деньги в основном на расширение операций Trickbot, аренду серверов, закупку оборудования, а также наем программистов и специалистов по пентесту, которых используют как хакеров.

Еще один главарь в переписке фигурирует как Professor или Alter; этот персонаж отвечает за развертывание программ-шифровальщиков в сетях, зараженных Trickbot, а также за создание инструментов, облегчающих доставку. Основными партнерами ОПГ в этом плане, как известно, являются операторы Ryuk и Conti.

Изучение переписки также показало, что, вопреки расхожему мнению, далеко не все члены Trickbot-команды живут в России. Как минимум двое из них базируются в Белоруссии; когда в 2020 году там заблокировали интернет, Stern посетовал, что некий программист Hof выпал из доступа из-за проблем со связью в этой стране.

Кибератаки на российскую промышленность выросли почти на треть

Российскую промышленность в 2026 году продолжают активно проверять на прочность. По данным «Лаборатории Касперского», в первом полугодии число обнаруженных и предотвращённых ИБ-инцидентов в отрасли выросло на 31% по сравнению с тем же периодом 2025 года. Особенно досталось транспортно-логистическому сектору.

Там количество атак подскочило сразу на 75%, а инцидентов высокой критичности стало больше на 30%.

Более того, доля серьёзных инцидентов в логистике оказалась почти на 50% выше среднего уровня по России. Если где-то киберугрозы стучат в дверь, то в логистике они уже пытаются вынести её плечом.

Среди главных угроз для промышленности остаются шифровальщики. По данным Kaspersky ICS CERT, в первом квартале 2026 года доля компьютеров, столкнувшихся с такими вредоносными программами, выросла на 97% год к году.

Также заметно прибавили шпионские программы, бэкдоры и кейлоггеры: их блокировали на 50% чаще. Отдельно эксперты отмечают вредоносы для AutoCAD — их доля составила 16%.

Злоумышленники атакуют промышленность не только ради выкупа. В логистике кибервзлом может закончиться вполне физической кражей грузов: преступники пытаются скомпрометировать участников цепочки, искать инсайдеров, фишить сотрудников и использовать уязвимости IoT-устройств на складах и транспорте.

Ещё одно направление — кибершпионаж. У предприятий пытаются украсть технологическую документацию, данные о мощностях, результаты НИОКР и другую информацию, которую явно не выкладывают в презентациях для партнёров.

Растут и риски для OT-систем, которые хотя бы эпизодически имеют доступ к интернету. В первом квартале доля компьютеров АСУ ТП, где обнаружили угрозы из сети, выросла на 6%.

ИИ тоже уже в деле. Одни группировки используют чат-ботов для переговоров о выкупе, другие маскируют вредоносы под ИИ-инструменты или применяют LLM при разработке кода. Промышленность цифровизуется, и атакующие, увы, тоже не сидят на кнопочных телефонах.

RSS: Новости на портале Anti-Malware.ru