Группы хактивистов, традиционно действовавшие из идеологических побуждений, активно осваивают криминальные методы заработка. Ярким примером этой тревожной тенденции стало появление в июле 2025 года сервиса программ-вымогателей (Ransomware-as-a-Service, RaaS) под названием BQTLock, который создала про палестинская хактивистская группировка zerodayx1. Это событие подтверждает глобальный сдвиг в мотивации подобных коллективов, которые теперь сочетают политические цели с финансовой выгодой, что значительно повышает их опасность и усложняет противодействие им.
Изначально хактивизм подразумевал использование хакерских техник для продвижения политических или социальных идей, а его основной мотивацией был протест, а не извлечение прибыли. Однако, как показывает исследование угроз, проведенное Threat Intelligence Team компании Outpost24, основные принципы, когда-то определявшие эти группы, дали трещину. С одной стороны, появились так называемые «фейктивистские» (faketivist) группы, чьи операционные возможности и риторика явно указывают на поддержку со стороны государств. С другой стороны, сами методы атак стали демонстрировать двойную цель: не только нарушить работу объектов, но и обеспечить финансовое обогащение.
Чтобы получить максимальную выгоду, хактивистские группы пытаются копировать наиболее успешные в последние годы модели - именно те, что используют организованные группы, занимающиеся программами-вымогателями. Речь идет о тактике двойного шантажа, когда злоумышленники не только шифруют данные жертвы, но и угрожают опубликовать их в случае неуплаты выкупа, а также о построении бизнеса по модели «услуга как сервис». Первопроходцами в этой гибридной деятельности стали про российские группировки, заложившие основу для нынешних тенденций. Хотя большинство таких проектов не добились значительного успеха или оказались недолговечными, это не остановило про палестинские группы, такие как zerodayx1, от следования их примеру.
Группировка zerodayx1, вероятно, базирующаяся в Ливане и активная как минимум с 2023 года, позиционирует себя как про мусульманский и про палестинский субъект угроз. Начав с DDoS-атак и вандализма веб-сайтов, группа эволюционировала в сторону хищения данных, которые она публиковала бесплатно. Запуск проекта BQTLock RaaS в июле 2025 года, несмотря на включение требований выкупа и криптовалютных кошельков для пожертвований, по своей активности все же suggests идеологическую, а не финансовую мотивацию. Zerodayx1 поддерживает высокую видимость в хактивистской среде, являясь активным участником сообщества LulzSec, пытаясь возглавить движение Anonymous в Ливане и управляя Telegram-каналом «Mohamed Brigade» с более чем тысячей подписчиков.
Эволюция методов атак zerodayx1 прослеживается по контенту, который группа размещает в социальных сетях. Среди первых публикаций в X (бывший Twitter) были свидетельства компрометации корпоративных почтовых ящиков, вероятно, с использованием скомпрометированных легитимных учетных данных. Цели, такие как Министерство внутренних дел Италии или ливанская политическая партия «Ливанские силы», указывают на последующее хищение данных и деструктивные действия. Группа также активно заявляла об DDoS-атаках и вандализме веб-сайтов против организаций в Европе, на Ближнем Востоке и в Северной Америке, действуя как самостоятельно, так и в кооперации с другими «исламскими группами сопротивления».
Важным этапом стало хищение и утечка данных. Zerodayx1 неоднократно публиковала конфиденциальную информацию жертв, включая учетные данные и целые базы данных, через временные платформы хранения, Telegram и подпольные форумы. Примечательно, что в большинстве случаев группа не пыталась продать данные или шантаживать жертв, ограничиваясь их публикацией. Исключением стали объявления о продаже на форумах, где цена не раскрывалась, а потенциальным покупателям предлагалось связаться через Telegram.
Кульминацией развития группы стал запуск собственного сервиса программ-вымогателей BQTLock. Проект был анонсирован как полностью настраиваемое решение с различными уровнями подписки, предназначенное не только для шифрования данных жертв, но и для их хищения и последующей публикации на специальном сайте утечек (Data Leak Site, DLS) в случае неуплаты выкупа. Исследователи из K7 Security Labs, проанализировавшие шифровальщик, отметили частые обновления, включая добавление функций по хищению учетных данных, а в начале сентября была анонсирована версия для Linux. Продвижение BQTLock велось преимущественно через Telegram и X, без упоминаний на специализированных форумах. На момент публикации отчета сайт утечек был недоступен, но ранее на нем фигурировали как минимум три жертвы из США и Европы.
Целями zerodayx1, в соответствии с ее идеологией, становятся организации и учреждения стран, поддерживающих Израиль, в первую очередь самих США и Израиля, а также Египта, Иордании и Ливана. Группа поддерживает связи с другими хакерскими коллективами, в частности, активно участвуя в сообществе LulzSec, чье имя она использовала для расширения аудитории, а также пытаясь создать ливанское подразделение движения Anonymous. Основными платформами для коммуникации и коммерческой деятельности остаются X и Telegram, хотя некоторые аккаунты блокируются за нарушение правил платформ.
Реальная опасность, исходящая от таких групп, как zerodayx1, заключается в их непредсказуемости и двойственной мотивации. В отличие от традиционных финансово мотивированных киберпреступников, их истинные намерения часто скрыты. Сложно определить, выбрана ли жертва оппортунистически или она соответствует идеологии группы, является ли публикация данных на сайте утечек попыткой нанести репутационный ущерб, и была ли информация уже продана третьим лицам. Спектр возможностей таких групп также крайне широк - от действий одиночки до скоординированного сообщества с ресурсами, традиционно присущими государственным группировкам.
Расширение целей и возможностей хактивистских групп, диверсификация их методов атак и источников финансирования превращают их в более сложную и непредсказуемую угрозу. Социальная напряженность и эскалация насилия в конфликтных регионах лишь подпитывают их активность. В этих условиях тщательный анализ публично распространяемого ими контента и поведения на подпольных платформах становится одним из немногих эффективных способов оценки реального уровня угрозы и выбора адекватных методов противодействия. Идеология по-прежнему остается ядром хактивистского движения, но ее слияние с криминальными бизнес-моделями требует от специалистов по кибербезопасности нового, более комплексного подхода к оценке рисков.
