Эксперты BI.ZONE Threat Intelligence отметили рост числа кибератак на промсектор: на протяжении прошлого года этот показатель держался на уровне 5–6% от общего объёма хакерских операций, а в первой половине 2026-го увеличился вдвое, достигнув 11%.
Как пояснили безопасники, изменилась мотивация злоумышленников. Если раньше 47% атак было связано со шпионажем, то теперь причиной в той же доле служит получение прямой финансовой выгоды. Так, в мае и июне на небольшие предприятия химпрома обратила своё внимание группировка Clubfoot Wolf — очевидно, обходя крупные и потенциально хорошо защищённые цели и делая ставку на массовость атак.
«Кластер Clubfoot Wolf маскировал свои письма под запросы коммерческих предложений или выставление счёта. В теме письма злоумышленники добавляли приписку Fwd: («переслано»), чтобы жертва подумала, что уже общалась с отправителем, и открыла вложение. В приложенном к письму ZIP-архиве находились отвлекающие файлы, а также ПО для удалённого администрирования NetSupport Manager. Этот легитимный инструмент позволял удалённо выполнять команды на компьютере жертвы, одновременно снижая шансы средств защиты обнаружить атаку. А чтобы затруднить анализ и выявление конечных URL-адресов, группировка использовала сервисы сокращения ссылок», — пояснил Олег Скулкин, руководитель BI.ZONE Threat Intelligence.
О растущем интересе киберпреступников к российскому промсектору свидетельствует и продажа специальных инструментов для хакеров. Например, недавно группа Wrecking Hyena продавала в своём Telegram-канале за 500 долларов обновлённую версию фреймворка, охватывающего полный цикл атак на инфраструктуру предприятия: от сканирования и разведки до эксфильтрации и хранения данных. Ранее они позиционировали себя как хактивисты.
