Просыпается мафия: почему хакеры переходят на ночные кибератаки
Хакеры всё чаще пытаются проводить кибератаки в ночное время, надеясь оставаться незамеченными, — об этом предупредили эксперты. В частности, специалисты «Лаборатории Касперского» выявили кампанию, проводимую по ночам группой хакеров Librarian Ghouls, — с декабря 2024 года они атаковали сотни корпоративных пользователей из России. Подробности о том, почему хакеры переходят на ночные кибератаки, чем это опасно и как защититься от таких угроз, читайте в материале «Известий».
Чем ночные кибератаки интересны хакерам
Киберпреступники атакуют ночью, поскольку в это время ожидают меньше контроля со стороны команд информационной безопасности, говорит в беседе с «Известиями» эксперт центра исследования киберугроз Solar 4RAYS (ГК «Солар») Владимир Степанов. Например, в своем отчете ThreatDown за 2024 год компания MalwareBytes отмечает рост атак с использованием шифровальщиков в ночное (между 1:00 и 5:00) и праздничное время.
— Злоумышленники, действующие в ночное время, рассчитывают на то, что их порой неаккуратные действия останутся незамеченными, — дополняет эксперт по реагированию на инциденты Angara SOC Никита Синкевич. — Присутствие злоумышленника в Сети может выдать срабатывание какого-либо средства защиты информации (СЗИ) или внезапный всплеск нагрузки на ресурсы целевой системы или Сети.
По словам Никиты Синкевича, такие события вполне могут остаться без внимания со стороны сотрудников атакованной организации, если внутри не выстроены соответствующие процессы мониторинга и реагирования на подобного рода происшествия.
Как правило, о действиях преступников становится известно только утром, когда вредоносная операция уже завершена и данные компании попали к злоумышленникам, отмечает руководитель группы аналитиков по информационной безопасности Лиги цифровой экономики Виталий Фомин.
Как хакеры могут использовать ночные кибератаки в 2025 году
Тактика проведения кибератак в ночное и праздничное время будет оставаться популярной, говорит в беседе с «Известиями» Владимир Степанов. Злоумышленники продолжают надеяться, что в компаниях в это время снизится уровень оперативного реагирования со стороны ИБ-команд, что позволит им дольше оставаться незамеченными и проводить атаки с минимальным риском обнаружения.
— Любые атаки могут оказаться более успешными, если их проводить в ночное время, — отмечает руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис» Сергей Полунин. — Это не гарантия, но дополнительный бонус атакующим. Так, внедряться в цепочки поставок проще, когда запускаются автоматические сборки в ночное время. Или, например, атаковать SCADA-системы может быть более эффективно, когда ночная смена слабее и мониторинг менее активен.
В 2025 году уровень киберпреступности продолжает расти, и компаниям стоит ожидать более изощренных атак — от внедрения в цепочки поставок до краж конфиденциальных данных через фишинговые сайты и сообщения, дополняет Виталий Фомин. Кроме того, злоумышленники совершенствуют свои механики с помощью технологий искусственного интеллекта (ИИ), что усложняет обнаружение вредоносной активности.
Возможно, мошенники станут активнее применять адаптивные системы для выбора оптимального времени атаки, а также генерации реалистичного фишинга (ВЕС-атак) и маскировки трафика, прогнозирует эксперт. В свою очередь руководитель TI-департамента PT ESC Денис Кувшинов, говоря о ночных кибератаках в 2025 году, отмечает, что их основные угрозы — это кража конфиденциальных данных, шифрование данных ради выкупа за расшифровку или же уничтожение данных.
— Чаще всего уничтожают данные хактивисты, которые впоследствии могут написать про это в своих Telegram-каналах, — говорит специалист.
С какими ночными кибератаками эксперты сталкивались ранее
В своей практике специалисты по кибербезопасности ранее сталкивались с ночными атаками азиатской группы Space Pirates, рассказывает Денис Кувшинов. По словам эксперта, практически во всех случаях группа действовала с 12 ночи до 7–8 утра и занималась шпионажем: подолгу присутствовала в инфраструктуре (до нескольких лет) и собирала конфиденциальные документы или письма в почте.
— Мы также сталкивались с другими случаями, когда хакеры достаточно давно взломали жертву, через 1–2 месяца приходили в инфраструктуру и проводили массовое шифрование с целью либо уничтожения данных, либо с требованием выкупа за расшифровку данных, — говорит собеседник «Известий».
История ночных атак насчитывает несколько довольно громких инцидентов, дополняет Сергей Полунин. Например, знаменитая атака на американскую IT-компанию Solarwinds в 2020 году как раз была осуществлена ночью для снижения вероятности обнаружения. Другой пример — атаки на банки в Юго-Восточной Азии: их приписывают хакерам из Lazarus Group, и они тоже шли в ночное время.
Отдельная проблема — это фишинг, который рассылается как раз ночью, чтобы люди получили его с утра и по невнимательности открыли и прочитали, отмечает Сергей Полунин. Именно фишинговая рассылка от имени крупных организаций стала одной из самых популярных тактик ночных кибератак, дополняет Виталий Фомин. Злоумышленники отправляют письма с вложением, содержащим вредоносный код.
— Когда пользователь открывает его, на компьютер устанавливается программа для удаленного доступа к управлению программным обеспечением (ПО), — говорит эксперт. — Цель мошенников — получить учетные записи организации.
Программа функционирует только с часа ночи до пяти утра, когда IT-специалисты компании не могут обнаружить надежно замаскированную установку вредоносного ПО, говорит Виталий Фомин. После получения необходимых данных злоумышленники удаляют со взломанного компьютера все следы своего присутствия, включая программу.
Как защититься от ночных кибератак хакеров
Как правило, ночные кибератаки направлены на компании с уязвимой IT-инфраструктурой и недостаточным мониторингом активности в нерабочее время, говорит Виталий Фомин. В зоне риска также находятся госструктуры и критические объекты — атаки могут привести к нарушению работы систем управления и утечке конфиденциальной информации, в том числе персональных данных граждан.
— Органы власти не всегда способны оперативно реагировать на угрозы: для сотрудников отделов безопасности не предусмотрены круглосуточные смены, а для мониторинга — недостаточно опыта или финансирования, — рассказывает собеседник «Известий».
По словам Виталия Фомина, если сотрудники компании работают в разных часовых поясах, это тоже может быть фактором риска. Из-за разницы во времени злоумышленникам может быть проще атаковать незащищенные рабочие места. Если обновления ПО или патчи безопасности централизованно применяются только в стандартное рабочее время, компьютеры в других регионах остаются уязвимы.
Кроме того, корпорации и банки всегда привлекают мошенников, поскольку с их помощью хакеры могут получить доступ не только к данным, но и к финансовым активам. Для защиты от ночных кибератак нужны общие меры кибербезопасности, но с учетом их специфики, отмечает Денис Кувшинов. Ночью время реакции на инциденты может быть дольше, поэтому важно организовать круглосуточный мониторинг: либо создать собственные смены SOC, либо нанять вендоров ИБ.
— Также помогают автоматизированные системы обнаружения угроз (SIEM), многофакторная аутентификация, регулярное обновление ПО и резервное копирование данных, — заключает специалист. — Это снижает риск успешных атак, включая кражу данных или шифрование.
