В первом полугодии доля кибератак на промышленный сектор выросла вдвое по сравнению с показателями 2025 года. Одновременно изменилась мотивация злоумышленников: все чаще их целью становится получение прямой финансовой выгоды, а не шпионаж.
BI.ZONE зафиксировала заметное увеличение числа кибератак, направленных против предприятий промышленного сектора. Если в течение 2025 года доля подобных инцидентов удерживалась на уровне 5–6% от общего числа атак, то по итогам первого полугодия 2026 года этот показатель вырос в два раза и достиг 11%.
Мотивация преступников изменилась. Ранее почти половина атак на промышленность (47%) была связана со шпионской деятельностью. Теперь же аналогичная доля инцидентов обусловлена стремлением получить прямую финансовую выгоду.
В мае и июне промышленный сектор столкнулся с серией атак, организованных финансово мотивированной группировкой Clubfoot Wolf. Основными целями злоумышленников становились небольшие предприятия химической промышленности. Предположительно, вместо того чтобы сосредоточиться на ограниченном числе крупных компаний с более высоким уровнем защиты, участники группировки выбрали тактику массовых атак, рассчитывая воспользоваться менее защищенной инфраструктурой организаций меньшего масштаба.
Участники Clubfoot Wolf рассылали электронные письма, выдавая их за запросы коммерческих предложений или документы, связанные с выставлением счетов, рассказал руководитель BI.ZONE Threat Intelligence Олег Скулкин. Чтобы повысить вероятность открытия сообщения, в строку темы добавлялась пометка Fwd: («переслано»). Во вложенном ZIP-архиве, помимо файлов, призванных отвлечь внимание пользователя, находилось ПО для удаленного администрирования NetSupport Manager. Этот легитимный инструмент позволял злоумышленникам выполнять команды на компьютере жертвы дистанционно и одновременно снижал вероятность обнаружения атаки средствами защиты. Кроме того, для усложнения анализа кампании и сокрытия конечных URL-адресов атакующие использовали сервисы сокращения ссылок.
О росте интереса киберпреступников к российским промышленным предприятиям свидетельствует и появление специализированных инструментов для проведения подобных атак в открытой продаже. В июне группировка Wrecking Hyena разместила в своем телеграм-канале предложение о продаже обновленной версии фреймворка стоимостью $500. Этот инструмент охватывал полный цикл атаки на промышленную инфраструктуру — от этапов сканирования и разведки до эксфильтрации и хранения данных. Кроме того, фреймворк предоставлял возможности для анализа уязвимостей атакуемых систем, эксплуатации промышленных протоколов, проведения DDoS-атак и компрометации средств удаленного доступа. При этом ранее участники Wrecking Hyena позиционировали себя как хактивисты, заявляя, что их деятельность основана исключительно на идеологических мотивах, а не на стремлении к финансовой прибыли. Нео-облака отвоюют у традиционных провайдеров 20% облачного рынка для ИИ ЦБ РФ разрабатывает правила для стейблкоинов в России Наслаждаемся летом с Технопарком
Источник: www.it-world.ru