Тема кибербезопасности стала вновь актуальной после взлома ИТ-инфраструктуры в сети алкомаркетов "Винлаб". В результате магазины компании не работают несколько дней, пока специалисты пытаются восстановить работоспособность системы. Как рассказал ретейлер, злоумышленники вышли на связь и требуют денег, но компания не хочет выполнять требования.
Гендиректор агентства INFOLine Иван Федяков оценивает размер ущерба для ретейлера в 200-300 млн рублей недополученной выручки.
"Винлаб" стал далеко не первой компанией, подвергшейся атаке. Так, весной 2022 года хакеры при помощи трояна заблокировали данные агрохолдинга "Мираторг", а в мае прошлого года группировка Head Mare атаковала курьерскую службу СДЭК. В первом случае Россельхознадзор предполагал, что удар связан с "тотальной войной, которую развязал против России коллективный Запад". Во втором — действия злоумышленников активно комментировали на Украине.
Как отмечает глава агентства "Рустелеком" Юрий Брюквин, количество атак со стороны украинских группировок выросло кратно, если не на порядок. С другой стороны, Федяков считает, что украинский след стал удобной легендой для отвода глаз со стороны российских хакеров.
Так или иначе, начиная с 2022 года кибератаки стали более продуманными, отмечает Иван Федяков. Не так давно INFOLine и сам пережил подобный удар.
“
"У нас была такая схема. После проникновения в сеть они нашли наше файлохранилище, очень грамотно удалили файлы-бэкапы таким образом, чтобы их уже было не восстановить. У них на это ушло несколько часов, то есть почти вся ночь. После чего началось шифрование данных, всего было зашифровано три четверти нашей информационной системы. Но мы успели заблокировать шифровку, а затем в течение нескольких недель занимались дешифрованием и поиском решений. Это было очень непросто: восемь из 10 специалистов по кибербезопасности отказывали нам", — рассказывает Иван Федяков.
Выполнение требований мошенников, как правило, ни к чему не приводит — злоумышленники просто исчезают после получения денег, не предоставляя ключей для восстановления данных, добавляет эксперт, отмечая, что знает несколько таких случаев.
Из последних в этом году инцидентов можно вспомнить атаки шифровальщиков на 12 storeez и "Лукойл", говорит гендиректор "Киберразведки" (вендор демополигона "Технопарка Санкт-Петербурга") Антон Белоусов. Подобные таргетированные атаки происходят всё чаще, подчёркивает он.
“
"Большинство заметных компаний уже стали жертвами таких атак. Достаточно вспомнить атаки на WB и Ozon в 2022-2023 годах, когда из-за DDoS не работали веб-серверы. Или, например, атаку на Росбанк в 2022 году, где до сих пор подозревается работа инсайдера. Даже крупные интеграторы и ИТ-компании вроде PT и Solar в своё время были атакованы", — добавляет руководитель группы защиты инфраструктурных ИТ-решений "Газинформсервиса" Сергей Полунин.
Брюквин обращает внимание, что компании редко признаются, что стали жертвами, поскольку боятся репутационных издержек и штрафов за утечку данных.
Как объясняет Полунин, в 2024 году до 40% атак на бизнес в РФ были заказными или спонсируемыми. Исполнителей находят в даркнете, на форумах и через телеграм-боты. По словам Белоусова, заказные атаки в сфере торговли случаются реже, чем в промышленности, где в 2025 году возник тренд на таргетированные атаки с целью кражи информации. По его мнению, удар по "Винлабу" вряд ли является заказным, поскольку, скорее всего, нанесён из "соседней недружественной страны". Организацию подобной атаки эксперт оценивает примерно в диапазоне от 500 тыс. до 1 млн рублей, учитывая траты на социальную инженерию, персонал и техсредства.
“
"Она не выглядит очень дорогой, поскольку, как мы обнаружили, у компании "Винлаб" были существенные недостатки в организации кибербезопасности и на самом деле хакерам вряд ли потребовалось тратить много ресурсов. Как показывает наше исследование, в компании использовались достаточно простые пароли, были утечки доступа ко внутренним системам", — подчёркивает Белоусов.
Хакеры редко работают против конкретных компаний, обычно они ищут уязвимости, отмечает заместитель гендиректора ГК "Гарда" Рустэм Хайретдинов. Он соглашается, что стоимость атак на слабую защиту невелика, так как не надо писать специальное ПО, достаточно эксплуатации базовых уязвимостей.
Белоусов рекомендует целый набор мер, чтобы усилить степень защиты. Во-первых, следует использовать сложные уникальные пароли и менеджер паролей, а также многофакторную аутентификацию во всех критичных системах. Во-вторых, необходимо закрывать внутренние системы для доступа извне и проводить мониторинг утечек, чтобы было время среагировать. Наконец, стоит повышать грамотность персонала, чтобы сотрудники не велись на уловки мошенников.
“
"Хакеры по найму ничем не отличаются от хакеров вообще. Поэтому все современные подходы вроде Zero Trust, сегментации сетей и внедрения SOC прекрасно себя показывают в любых ситуациях. Не стоит также пренебрегать и организационными мерами, потому что тот же фишинг — это точка входа более чем для 80% атак, и без обучения сотрудников не обойтись", — отмечает Полунин.
