Хактивисты Forbidden Hyena применяют ИИ для атак на российские компании

Екатерина Быстрова 27 Февраля 2026 - 12:46

Таргетированные атаки

...

Хактивисты Forbidden Hyena применяют ИИ для атак на российские компании

Хактивистская группировка Forbidden Hyena начала использовать искусственный интеллект для разработки своих инструментов при атаках на российские компании. Об этом сообщили специалисты BI.ZONE Threat Intelligence, обнаружившие командный сервер кластера.

Forbidden Hyena заявила о себе в начале 2025 года. Среди её целей — органы госуправления, а также организации из сфер здравоохранения, энергетики, инженерии, ретейла и ЖКХ.

Аналитики BI.ZONE нашли на сервере группировки несколько скриптов с явными признаками ИИ-генерации. В их числе — два PowerShell-скрипта: один предназначался для закрепления в системе, другой — для установки AnyDesk на устройство жертвы. Также был обнаружен Bash-скрипт для загрузки и запуска обфусцированного импланта Sliver — инструмента, изначально созданного для пентеста.

По словам руководителя BI.ZONE Threat Intelligence Олега Скулкина, признаки использования ИИ заметны по структуре кода: в скриптах присутствуют отладочные строки, подробные комментарии, понятные названия переменных и отсутствует обфускация — приёмы запутывания кода, которые обычно применяют злоумышленники при самостоятельной разработке.

При этом, по оценке экспертов, такие инструменты пока остаются довольно шаблонными и примитивными. В 2025 году доля атак на российские компании с использованием ИИ не превышала 1%. Тем не менее тренд на вредоносное использование искусственного интеллекта, вероятно, будет усиливаться, а атаки станут сложнее.

Сценарий атаки предполагал загрузку ранее неизвестного трояна удалённого доступа BlackReaperRAT, который позволял скрытно управлять заражённым устройством. Финальной целью было шифрование инфраструктуры и требование выкупа. Для этого злоумышленники использовали обновлённую версию шифровальщика Blackout Locker, переименованного в Milkyway.

По данным BI.ZONE, во втором полугодии 2025 года заметен ещё один тренд: доля атак, совершаемых по идеологическим мотивам, снизилась с 20% до 12%, а хактивистские группы всё чаще совмещают свои кампании с классическим вымогательством.

Следующая главная новость »

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 27 Февраля 2026 - 10:26

Solar SafeInspect Соответствие законодательству РФ Корпорации Государство Контроль привилегированных пользователей (PAM)Соответствие требованиям регуляторов ГК «Солар»

ГК Солар подготовила Solar SafeInspect к новым требованиям ФСТЭК России

С 1 марта 2026 года вступает в силу Приказ ФСТЭК России № 117, который ужесточает требования к защите государственных информационных систем и управлению привилегированными учетными записями. Для госорганов, компаний из сегмента КИИ и финансового сектора это означает пересмотр привычных схем удалённого доступа.

Документ запрещает бесконтрольное использование прав администратора и вводит более жёсткие правила дистанционного подключения к контурам ГИС.

Если сотрудник или подрядчик работает удалённо, организация должна обеспечить защищённый канал связи, строгую аутентификацию и изоляцию критической инфраструктуры. Привычные схемы с несертифицированными VPN-клиентами или прямым пробросом портов больше не укладываются в нормативные требования.

На этом фоне ГК «Солар» заявила о готовности своей системы управления привилегированным доступом Solar SafeInspect к новым правилам. Обновлённый сертификат ФСТЭК России распространяется на версию продукта с модулем WEB-портал, который позволяет организовать удалённую работу через веб-интерфейс без установки VPN-клиентов и дополнительного ПО на стороне пользователя.

По словам представителей компании, администратор подключается к порталу по защищённому протоколу, проходит аутентификацию и работает с целевыми системами в изолированной сессии. При этом прямого сетевого взаимодействия между устройством сотрудника и внутренними сегментами ГИС не происходит, а все действия фиксируются.

Требования к контролю доступа актуальны не только для госструктур. В финансовом секторе действует ГОСТ Р 57580.1, который также предполагает жёсткое управление логическим доступом. В «Соларе» отмечают, что использование сертифицированного решения упрощает прохождение аудитов и проверок Банка России.

Отдельный аспект — импортозамещение. Модуль WEB-портал в составе сертифицированной версии Solar SafeInspect работает на базе Astra Linux, что позволяет выстраивать подсистему доступа без использования зарубежного ПО.

В компании подчёркивают: 1 марта — это не столько крайний срок, сколько начало нового этапа контроля. Организациям придётся не только внедрить меры защиты, но и быть готовыми подтверждать соответствие требованиям регулятора в ходе проверок.

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!