Известные хакерские группировки: как они работают и что им грозит

Кибератаки стали более сложными и масштабными. Злоумышленники всё чаще используют мощные ресурсы и разнообразные инструменты, чтобы скрыть свои действия и затруднить их отслеживание. Однако мы знаем немало хакерских группировок, которые открыто заявляют о себе, своих методах работы и делятся «успехами» со всем миром.

В этой статье мы рассмотрим несколько известных хакерских группировок, их инструменты и тактики. А ещё обсудим юридические последствия, которые могут применяться к организаторам кибератак в России.

Но сначала о понятиях

Отличить организованную группу злоумышленников от хакера-одиночки довольно просто. Есть минимум пять важных признаков:

1. Организация и структура.

Группировки имеют сложную иерархическую структуру. Каждый участник выполняет конкретную роль: лидер, разработчик вредоносного ПО, специалист по финансам или PR.

2. Масштабность операций.

Группировки проводят координированные атаки, которые могут охватывать регионы и отрасли. Часто целью становятся крупные корпорации и государственные учреждения. Такой подход требует значительных ресурсов и тщательного планирования.

3. Продвинутые технологии.

Хакерские группировки применяют эксплойты нулевого дня и другие передовые методы, сложные фишинговые схемы и адаптивные вредоносные программы. Такое ПО сложнее обнаружить стандартными средствами защиты, также оно может реагировать на изменения в системе.

4. Коммерциализация и монетизация.

Организованные преступники занимаются вымогательством, продают украденные данные или предлагают услуги по кибератакам за деньги. Некоторые группировки организуют партнёрские программы, такие как Ransomware-as-a-Service (RaaS). Другие злоумышленники используют такое ПО в обмен на долю от дохода.

5. Анонимность и скрытность.

Участники группировок работают инкогнито, используют псевдонимы и различные методы сокрытия личных данных и местоположения. Они применяют сети анонимайзеров и зашифрованные каналы связи, чтобы предотвратить отслеживание.

Подробнее про мотивацию и поведение хакеров читайте в этой статье: «Причины DDoS-атак и психология злоумышленника: что учесть в защите».

Самые известные хакерские группировки

В мире киберпреступности есть хакерские команды, чьи имена стали нарицательными благодаря масштабным и громким атакам. Они действуют организованно, используют передовые технологии и методы для достижения целей. Рассмотрим несколько группировок подробнее.

Anonymous

Anonymous — децентрализованный коллектив, образованный в 2003 году. Группа известна своими атаками на правительственные и корпоративные сайты. Хакеры выступают против цензуры и за свободу слова. Одним из самых громких инцидентов с их участием произошёл в 2010 году, когда Anonymous провели DDoS-атаки на Visa, MasterCard и PayPal. Атака стала ответом на отказ этих компаний обрабатывать пожертвования для WikiLeaks. Масштабная операция получила название «Расплата».

Lizard Squad

Lizard Squad — молодая хакерская группа, которая занимается DDoS-атаками на игровые серверы. Она стала широко известной в 2014 году — после инцидента с PlayStation Network и Xbox Live. Игровые сервисы были недоступными несколько дней, причём в разгар праздничного сезона. Атака заставила страдать миллионы геймеров по всему миру.

KillNet

Группировка специализируется на DDoS-атаках. В 2022 году хакеры из KillNet атаковали правительственные сайты в Европе, протестуя против санкций против России. Кампания привела к временным сбоям в работе множества веб-ресурсов. Группа также участвовала в конфликте между рынками Dark Web после закрытия Hydra Market, поддерживала WayAWay и атаковала RuTor. Официально хакеры выступили против торговли наркотиками. Хотя в их деятельности также были замечены финансовые мотивы.

NoName057(16)

NoName057(16) также известна своими DDoS-атаками. Эта хакерская организация появилась на киберпреступной сцене относительно недавно. Участники NoName057(16) часто выбирают мишени по политическим или финансовым интересам. Обычно они стремятся привлечь максимальное внимание жертв к своим действиям и нанести им максимальный ущерб.

В 2023 году участники NoName057(16) провели масштабную атаку на ряд финансовых институтов в США. Злоумышленники добились временной недоступности их онлайн-сервисов. Атаки привели к огромным убыткам в финансовом секторе, нарушили работу банковских систем и вызвали панику среди клиентов.

BlackMatter

BlackMatter — хакерская командагруппа, котокрая специализируется на вымогательских атаках и распространении соответствующих утилит (Ransomware-as-a-Service). Обычно преступники находят и эксплуатируют уязвимости в корпоративных сетях, зашифровывают данные и затем требуют выкуп.

В 2021 году злоумышленники из BlackMatter совершили атаку на компанию NEW Cooperative — одного из крупнейших представителей сельскохозяйственного сектора США. Хакеры зашифровали критически важные данные жертвы и потребовали выкуп в размере 5,9 млн долларов за их восстановление. В случае отказа они угрожали опубликовать конфиденциальную информацию, которую успели получить в процессе атаки.

APT31 (aka Zirconium)

APT31 — хакерская группа, которую чаще обвиняют в кибератаках на государственные структуры и политические организации. Также её связывают с кражами интеллектуальной собственности и атаками на цепочки поставок.

В 2020 году, в разгар президентских выборов в США, группировка совершила около тысячи попыток взлома аккаунтов избирателей и политических организаций, стремясь повлиять на исход выборов и нарушить их процесс. Эти атаки включали фишинговые схемы и другие методы социальной инженерии. Все они были направлены на получение доступа к конфиденциальной информации.

Syrian Electronic Army(SEA)

Syrian Electronic Army (SEA) — хакерская группа, поддерживающая правительство Сирии. В 2013 году злоумышленники взломали аккаунт Associated Press в одной из соцсетей. Хакеры распространили ложную информацию о взрывах в Белом доме и ранении президента Барака Обамы.

Фальшивое сообщение вызвало панические настроения на фондовых рынках. И хотя информацию опровергли спустя несколько минут, инцидент привёл к огромным финансовым потерям для множества американских и международных компаний.

LockBit

Разрабатывают вредоносное ПО, с помощью которого шифруют данные и затем требуют выкуп, угрожая опубликовать конфиденциальную информацию. Работают по модели Ransomware-as-a-Service (RaaS): предоставляют партнёрам доступ к программе, те проводят атаки и делят выплаты с создателями продукта.   

«Короли шантажа» участвовали почти в половине инцидентов с использованием программ-вымогателей по всему миру и заработали более $1 млрд. Парализовали работу Королевской почты Великобритании и крупнейшего банка в мире ICBC, похитили данные Boeing, атаковали больницы, школы, госучреждения. 

Госдепартамент США обвинил в создании группировки россиянина Дмитрия Хорошева и пообещал за информацию о нём $10 млн. В 2024 году правоохранители взломали инфраструктуру LockBit, изъяли ключи шифрования, но активность хакеров не прекратилась.   

REvil/Sodinokibi 

Одна из самых дерзких группировок, базировалась в России и действовала по модели RaaS. Использовала комплекс методов для кражи данных: эксплуатацию уязвимостей в публичных сервисах, фишинг, DDoS-атаки для усиления давления. Попутно киберпреступники взламывали банковские счета и обналичивали деньги. 

С 2019 по 2021 годы жертвами хакеров стали американская IT-компания Kaseya (пострадали 1500 её клиентов, использовавших ПО для управления сетями VSA), Apple, Acer и валютный оператор Travelex. Мировому лидеру по производству мяса JBS из-за атаки пришлось приостановить производство и заплатить вымогателям $11 млн. REvil организовали утечку внутренних данных из департамента полиции Вашингтона и нападали на госучреждения в Техасе. 

Проблема дошла до верховной власти: экс-президент США Джо Байден попросил президента России Владимира Путина пресечь деятельность группировки. В 2022 году восьмерых лидеров REvil арестовали. Они предстали перед судом и получили сроки от 4,5 до 6 лет лишения свободы. Четверых хакеров после оглашения приговора тут же освободили с учётом времени в СИЗО. Сейчас группировка не активна, однако бывшие участники могут быть заняты в новых проектах. 

ALPHV/BlackCat

Появилась в 2021 году и соединила модели работы двух предыдущих группировок. Использует собственное вредоносное ПО на языке Rust, подкрепляет вымогательство DDoS-атаками на сайт жертвы и нанимает «партнёров» за процент от выкупа. 

Подробнее о DDoS-атаках с шантажом >>

География ударов охватывает Европу, США, Юго-Восточную Азию и ОАЭ. В 2023 году хакеры атаковали две развлекательные корпорации в США Caesars Entertainment и MGM Resorts, похитили 80 ГБ данных у Reddit. Тогда же ФБР взломало инфраструктуру ALPHV, но группировка быстро восстановила работу. А в 2024-м объявила о приостановке своей деятельности после атаки на платформу Change Healthcare. По некоторым данным, злоумышленники не поделили выкуп в размере $22 миллионов. 

The Dark Overlord

Ещё одна международная группировка вымогателей. Хакеры известны публичным шантажом: размещают ультиматумы в своих аккаунтах и требуют выкуп в биткоинах. Это привело к запрету группировки на многих онлайн-платформах, включая Twitter и Reddit.

Наиболее громкие цели The Dark Overlord — гиганты индустрии развлечений Netflix и Disney. В 2017 году после отказа первой корпорации платить выкуп группа выложила в сеть неизданные серии популярного сериала «Оранжевый — хит сезона». 

Правоохранители частично пресекли деятельность группировки. В 2020 году одного из её участников Натана Уайатта приговорили к пяти годам тюрьмы.

TWELVE

Политически мотивированные хактивисты атаковали более 50 российских организаций в сфере логистики, промышленности, IT и ритейла. Для разрушения инфраструктуры жертвы хакеры применяют комбинированную тактику. После шифрования данных запускается вайпер — вредоносное ПО, которое безвозвратно удаляет информацию и делает невозможным восстановление данных с носителей.

«Фишка» группировки — использование методов социальной инженерии. Киберпреступники манипулируют подрядчиками, чтобы взломать их инфраструктуру и получить доступ к внутреннему периметру компании-заказчика. 

В 2024 году Telegram заблокировал канал Twelve за публикацию чужих персональных данных. Но это не остановило хакеров: через несколько месяцев атаки возобновились. 

Head Mare

Хакеры специализируются на атаках на бизнес и государственные учреждения в России и Белоруссии. Основной мотив — хактивизм, хотя киберпреступники не брезгуют и вымогательством. Они проникают в сети жертв с помощью фишинга — рассылают RAR-архивы, эксплуатирующие уязвимость в программе-архиваторе. 

Хакеры взяли на себя ответственность за атаки на «Уралвагонзавод», «Русснефть», подведомственную организацию Минобороны РФ и краснодарского провайдера «Телецентр». Самый громкий инцидент — нападение на СДЭК в мае 2024 года: масштабный сбой парализовал работу службы доставки на несколько дней. 

C.A.S

С 2022 года хактивисты атакуют организации в России и Белоруссии. Активно сотрудничают с другими группировками, включая ту же Twelve, для запуска более масштабных атак. Для проникновения в сети жертв используют уязвимости в общедоступных сервисах — Jira, Confluence, Microsoft SQL Server и рассказывают о своих «подвигах» в Telegram-канале. 

От атак C.A.S пострадал бизнес из телекома, промышленности и ритейла, включая крупную алкогольную компанию Novabev Group. В 2023 году вместе с группировкой UHG хакеры взломали сервис по продаже билетов kassy.ru и продавали в даркнете базы данных с личной информацией миллионов пользователей. 

Crypt Ghouls

Киберпреступники сочетают хактивизм и шантаж, запускают атаки на российские компании и государственные учреждения. По почерку Crypt Ghouls во многом похожи на предыдущие политически мотивированные группировки: взламывают учётные записи подрядчиков жертв, используют VPN-соединения и вредоносные программы-шифровальщики, а также тесно дружат с «коллегами». 

При этом хакеры применяют фирменные методы, чтобы усложнить восстановление данных после атаки. Например, после шифрования файлов многократно переименовывают их от «aaaaaaa» до «zzzzzzz», прежде чем удалить последнюю версию. 

Chaos Computer Club (CCC)

Старейшее хакерское сообщество, основанное в 1981 году в Германии. Участники не причиняют ущерб бизнесу и власти, а исповедуют этические принципы — исследование роли технологий в обществе, борьба за свободу информации и приватность. У нескольких активистов были проблемы с законом, однако сегодня деятельность сообщества почти легальна. В частности, оно ежегодно проводит хакерскую конференцию Chaos Communication Congress.

CCC прославилась своими публичными акциями, целью которых было привлечь внимание к проблемам безопасности:

• в 1984 году хакеры взломали немецкую сеть Bildschirmtext, чтобы доказать её ненадёжность, и на следующий день вернули украденные деньги;
• в 1987-м — обнаружили уязвимость в компьютерах НАСА и сообщили о ней ЦРУ;
• в 2006-м — взломали систему электронного голосования компании Nedap, результатом стал запрет на применение такой технологии в Германии; 
• в 2008 и 2013-м такая же участь постигла биометрические системы страны: хакеры даже создали копии отпечатков пальцев министра внутренних дел.

Создатели ботнета AISURU Группировка всего из трёх участников запускает одни из самых мощных DDoS-атак за последнее время. В декабре 2025 года мощность атаки ботнета на Cloudflare достигла 29,7 Тбит/с ― это новый мировой рекорд. По данным экспертов, AISURU состоит минимум из 700 000 заражённых гаджетов. Ботнет сочетает разные методы атак, включая многовекторные. Под ударом компании по всему миру: иногда хакеры поражают сотни целей одновременно.

Интересно знать о хакерах 

Кто самый великий хакер?

Невозможно поставить на первое место кого-то одного, так как критериев для сравнения много: технические навыки, цели, общественно-политический контекст. Однако можно назвать несколько культовых фигур, чьи имена стали нарицательными. 

Кевин Митник признан легендой за дерзкие взломы систем Nokia, Motorola и командования воздушно-космической обороны США в 1980-90-е годы. Изначально он действовал скорее из спортивного интереса и желания доказать уязвимость сетей, провёл годы в тюрьме. Позже «перешёл на светлую сторону» и стал консультантом по безопасности.

Джон Дрейпер, известный как Captain Crunch, взламывал телефонные сети. Его деятельность помогла обнаружить уязвимости в телекоме. 

Альберт Гонсалес прославился масштабными кражами данных кредитных карт: только у сети TJX он похитил информацию 180 млн пользователей. Его мотивом была исключительно финансовая выгода.

Отдельно стоит сказать о хактивистах, которые использовали кибератаки для достижения идеологических целей. Аарон Шварц боролся за свободный доступ к знаниям, скачивая документы с серверов государственных органов и некоммерческих организаций.  

Гэри Маккиннон в 2001–2002 годах совершил крупнейший на тот момент взлом военных компьютеров, включая системы НАСА и Минобороны США. Он утверждал, что искал доказательства существования НЛО и альтернативных источников энергии. Его действия привели к потере важных файлов и приостановке поставок боеприпасов. 

Джулиан Ассанж известен созданием платформы WikiLeaks, которая публиковала секретную информацию. С 16 лет он занимался хакерскими атаками, взламывая сети корпораций, правительственных организаций и образовательных учреждений, включая НАСА и Пентагон. 

Какая хакерская группа самая сильная?

Нельзя выделить одну группировку, потому что их сравнивают по разным параметрам: технологическая продвинутость, финансовый ущерб или идеологическая мотивация. Однако несколько команд доминируют в своих нишах и определяют лицо современной киберугрозы. 

Эталонными группировками вымогателей по модели Ransomware-as-a-Service (RaaS), можно назвать LockBit, Conti и REvil. 

Lazarus Group, по некоторым предположениям, — аффилированные с властями Северной Кореи шпионы и финансовые террористы. Хакеры атакуют банки и криптовалютные платформы по всему миру. Группировку подозревают в распространении шифровальщика WannaCry в 2017 году: в результате этой атаки пострадало более 500 тыс. компьютеров и тысячи организаций. 

Особняком в этом ряду стоят команды хактивистов, цель которых — влиять на общественно-политические процессы. Легендарный децентрализованный коллектив Anonymous десятилетиями остаётся символом цифрового протеста. Во время новых геополитических конфликтов на первый план вышли Killnet и NoName057(16), о которых мы писали выше. 

Какие есть виды хакеров?

Распространённая классификация описывает три категории хакеров, которые отличаются мотивацией и отношением к закону:

• так называемые «белые шляпы» — легальные и этичные специалисты, работают с разрешения владельцев систем. Их цель — укрепление кибербезопасности, а методы включают тестирование на проникновение (пентестинг), аудит и ответственное раскрытие уязвимостей. Эти хакеры официально сотрудничают с компаниями в штате или на фрилансе;
• «чёрные шляпы» — классические киберпреступники, действуют вне закона. Их главный мотив — финансовая выгода (вымогательство, кража данных) и вредительство. Они используют весь спектр вредоносных инструментов: от фишинга и троянов до сложных программ-шифровальщиков;
• «серые шляпы» — промежуточный вариант между первыми двумя. Действуют без разрешения владельцев систем и имеют смешанную мотивацию — от личного интереса до выгоды. Сюда же относятся хактивисты, которые организуют атаки в поддержку политических или социальных протестов. 

Кроме того, существуют менее квалифицированные злоумышленники вроде скрипт-кидди (используют готовые инструменты для самоутверждения) и узкие специалисты, например, кракеры, которые взламывают защиту ПО из спортивного интереса.

Какая зарплата у хакеров?

Всё очень индивидуально. На основе публичных данных расскажем о «вилках» заработков у белых хакеров и нетрудовых доходах киберпреступников. 

Примерные зарплаты легальных специалистов в России:

• джуны — от 60-70 до 150 тыс. руб. в месяц;
• мидлы — от 140 до 300+ тысяч;
• сеньоры (ведущие эксперты, архитекторы безопасности и руководители) — до 400-800 тыс. руб. и выше. 

Отдельный, но нестабильный канал доходов — программы Bug Bounty, где выплаты за найденные уязвимости могут варьироваться от символических сумм для новичков до сотен тысяч и иногда даже миллионов рублей за критическую находку.

На международном рынке, особенно в США, уровень доходов существенно выше. Годовая зарплата опытного специалиста по кибербезопасности в Силиконовой долине или на Уолл-стрит превышает $150 тыс., а для топ-экспертов и руководителей высшего звена может достигать $400 тыс. и более. Лучшие исследователи, участвующие в глобальных программах Bug Bounty на платформах вроде HackerOne, в год могут зарабатывать свыше $1 млн.

Доходы киберпреступников не имеют потолка и крайне изменчивы. По словам экс-хакера Петра Левашова, за один успешный взлом, например, с использованием шифровальщика, команда в России может получить до $10 млн, а доля каждого участника — порядка $4 млн. 

Аналитики компании F6 приводят такие расценки за услуги хакеров (на май 2025 года):

• доступы к партнёрскому ПО вымогателей — до $100 тыс.;
• информация об уязвимостях, неизвестных жертве, — до $250 тыс.;
• доступы в корпоративную сеть атакуемой организации — до $10 тыс.;
• DDoS-атака — от $30 в день.

В 2024 году вымогатели по всему миру получили около $814 млн долларов. Однако обратная сторона медали — высочайшие риски тюремного заключения.

Ответственность в России

Напоследок напомним, что участие в хакерской группировке и её операциях — серьёзное преступление. Как и во всём мире, в России за такие действия предусмотрена уголовную ответственность.

• Статья 272 УК РФ: неправомерный доступ к компьютерной информации карается лишением свободы на срок до двух лет. Статья применяется к тем, кто незаконно проникает в чужие системы и крадёт или изменяет данные.
• Статья 273 УК РФ: создание, использование и распространение вредоносных программ грозит лишением свободы на срок до трёх лет. Это наказание предназначено для тех, кто разрабатывает и распространяет вирусы, трояны и другие виды вредоносного ПО, наносящие вред компьютерным системам.
• Статья 274 УК РФ: нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации, а также информационно-телекоммуникационных сетей — все эти действия могут привести к лишению свободы на срок до четырёх лет. Статья охватывает действия, которые нарушают установленные правила работы с компьютерной информацией и сетями. Такие инциденты могут приводить к потере важных данных, сбоям в работе критически важных систем и другим крайне опасным для бизнеса проблемам.