За первые пять месяцев 2025 года количество кибератак на российские компании с применением искусственного интеллекта (ИИ) со стороны украинских хакерских группировок выросло на 48% по сравнению с аналогичным периодом прошлого года. Чаще всего ИИ используется для модификации вредоносных программ.
По мнению экспертов, опрошенных «Известиями», одной из самых опасных группировок является украинско-польская Librarian Ghouls.
Как рассказал директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Александр Матвеев, ключевая тенденция — это использование нелегальных ИИ-агентов для создания модифицированных зловредов.
«ИИ способен генерировать вредоносный код, который хакеры применяют для атак на организации. Для этого в даркнете с помощью нейросетей находят специальные модели, у которых сняты этические ограничения. Подписка на таких ИИ-ассистентов обычно стоит около $200 в месяц», — уточнил представитель IZ:SOC.
По словам Матвеева, этот процесс развивается параллельно с распространением модели Ransomware-as-a-Service (RaaS, «вымогательство как услуга»). Благодаря применению ИИ стоимость таких сервисов снижается, что делает их доступными для более широкого круга злоумышленников.
На долю Librarian Ghouls приходится 15–20% всех атак. Эта группировка известна с декабря 2024 года. Обычно она действует ночью. Изначально злоумышленники заражали инфраструктуру компаний шпионским софтом, которое позже заменяли криптомайнером. Как отметил директор департамента киберрасследований T.Hunter Игорь Бедеров, действия группы становятся заметными лишь на этапе шантажа: когда начинается угроза публикации похищенных данных.
По оценке эксперта T.Hunter, в 2025 году количество вариантов программ-вымогателей, созданных с помощью ИИ, увеличилось в четыре раза. С ними уже столкнулись 85 тысяч компаний и пользователей. Геополитическая обстановка способствует как росту количества атак, так и их агрессивности.
Всё чаще применяются схемы двойного и тройного вымогательства, при которых злоумышленники требуют оплату не только за восстановление доступа к данным, но и за неразглашение украденной информации.
Высокую активность операторов программ-шифровальщиков подтвердили и в компании F6. Особенно выраженной она стала во втором квартале 2025 года. Целью атак всё чаще становится не только получение выкупа, но и нанесение максимального ущерба. Среди наиболее активных группировок в F6 выделяют DarkStar (бывш. Shadow/c0met), Mimic ransom и Proton/Shinra.
«Большинство группировок, атаковавших Россию во втором квартале, продолжают использовать утёкшие в Сеть версии шифровальщиков LockBit 3 Black и Babuk. Основные типы ущерба: кража информации, компрометация данных об организации и последующие требования выкупа, что ведёт к серьёзным финансовым и репутационным потерям», — сообщили в пресс-службе F6.
В «Информзащите» настоятельно рекомендуют не платить выкуп. По их мнению, это лишь повышает вероятность повторной атаки.
