Hacktivista célpontok változása
A Cyble jelentése szerint a hacktivista csoportok tevékenysége jelentős átalakuláson megy keresztül, egyre kifinomultabb és rombolóbb támadási módszereket alkalmazva. A korábbi, főként DDoS-támadásokra és weboldalak megrongálására korlátozódó akciók helyett most már kritikus infrastruktúrákat céloznak meg, és zsarolóvírusokat is bevetnek.
A jelentés kiemeli, hogy a hacktivizmus már nem csupán marginális ideológiai megnyilvánulás, hanem egy decentralizált kiberfelkelés eszköze, amely képes geopolitikai narratívák alakítására, kritikus rendszerek destabilizálására és globális konfliktusok digitális térben történő kezelésére.
A 2025 első negyedévében legaktívabb hacktivista csoportok közé tartoznak a NoName057(16), Sandworm, Z-pentest, Sector 16 és Overflame, amelyek elsősorban NATO-tagállamokat és Ukrajna támogatóit célozták meg. Ezek a csoportok egyre gyakrabban támadják az ipari irányító rendszereket (ICS) és az operatív technológiákat (OT), különösen az energia- és vízellátó szektorokban, kihasználva az internetre kapcsolt rendszerek sebezhetőségeit.
A támadások során alkalmazott technikák közé tartozik a többvektoros és koalíciós támadások, amelyek kombinálják a DDoS-támadásokat, hitelesítő adatok kiszivárogtatását és az ICS-rendszerek megzavarását, megkerülve az egyrétegű védelmi mechanizmusokat. Emellett egyre gyakoribbak a zsarolóvírus-támadások is, amelyeket ideológiai célok elérésére használnak.
Például az Ukrajnához köthető BO Team zsarolóvírus-támadást hajtott végre egy orosz ipari gyártó ellen, amely során több mint 1000 rendszert és 300 TB adatot titkosítottak, 50 000 dollár értékű Bitcoin váltságdíjat követelve. A Yellow Drift csoport több orosz kormányzati platformot támadott meg, többek között a Tomsk régióból 250 TB, valamint az országos e-beszerzési rendszerből 550 TB adatot kompromittálva. A C.A.S. nevű Ukránpárti hacktivista csoport pedig egy orosz technológiai vállalat ellen hajtott végre összehangolt kiberműveletet, amely során mintegy 3 TB belső vállalati adatot szivárogtattak ki, beleértve forráskódokat, könyvelési nyilvántartásokat és belső hálózati dokumentációkat.
A támadók által alkalmazott technikák és taktikák (TTP-k) közé tartozik az SQL-injekció, az internetre nyitott webes panelek brute force támadása, az OWASP sebezhetőségek kihasználása adatlopás céljából, valamint a dorking technika használata rosszul konfigurált vagy internetre nyitott adatbázisok felfedezésére. Ezek a módszerek lehetővé teszik a támadók számára, hogy jogosulatlan hozzáférést szerezzenek érzékeny adatokhoz és rendszerekhez.
