Компаниям, которые не желают повторить судьбу "Аэрофлота", "Винлаба" и "Столичек", придётся серьёзно увеличить расходы на кибербезопасность
Атака хакерских группировок "Киберпартизаны" и Silent Crow на авиакомпанию "Аэрофлот" наглядно показала всем, насколько может быть уязвимым даже очень крупный бизнес, тратящий огромные деньги на кибербезопасность. А буквально на следующий день от взлома пострадала аптечная сеть "Столички" (входит в ГК "Неофарм", занимающую 6-е место в рейтинге российских аптечных сетей по итогам I квартала 2025 года).
Аптеки сети закрылись в Москве и Петербурге, перестали работать кассы и системы учёта, недоступен стал сервис онлайн-бронирования. Потери компаний от действий злоумышленников предварительно оцениваются в миллиарды рублей. Причём ещё неизвестно, сколько времени займёт полное восстановление работы предприятий.
Сейчас всех волнует, кто может стать следующей жертвой. Между тем специалисты по информационной безопасности (ИБ) продолжают выявлять всё новые и новые группировки и способы атак.
Доступ на продажу
"Использование инфраструктуры компании как плацдарма для атак на другие организации — это распространённая практика уже многие десятилетия, — говорит бизнес-консультант по безопасности компании Positive Technologies Алексей Лукацкий. — Для специалистов по ИБ нет почти никакой разницы в техниках, используемых, например, на этапе проникновения и закрепления на инфраструктуре компании. А вот что потом — будет ли это кража информации, майнинг, перепродажа доступа — вопрос десятый".
В 2025 году эксперты центра Solar 4RAYS обнаружили новую хакерскую группировку Proxy Trickster. Злоумышленники атаковали почти 900 серверов в 58 странах мира, включая Россию. Их основной заработок — проксиджекинг. Они перехватывают контроль над серверами, маскируют вредоносные процессы и превращают машины в прокси для сокрытия анонимной активности, а затем перепродают доступы к ним.
"Продажа взломанных серверов — это устоявшаяся практика в киберпреступной среде, — объясняет эксперт Solar 4RAYS Владимир Степанов. — Их продают брокеры через даркнет и telegram-каналы заинтересованным группам. Как злоумышленникам, которые распространяют программы-вымогатели для кибератак, так и обычным мошенникам".
По оценке "Солара", средний ущерб от атак различного уровня сложности у крупных компаний в 2023 году составлял порядка 20 млн рублей. Сегодня в зависимости от размера бизнеса потери могут превышать и 40 млн рублей, включая время простоя бизнес-процессов и перехода клиентов к конкурентам.
Владимир Степанов подчёркивает: "Несмотря на то что основная мотивация тех же Proxy Trickster заключается в финансовой выгоде через использование вычислительных и сетевых ресурсов заражённых серверов (майнинг, proxyjacking), полностью исключать риск шпионажа или хищения данных нельзя.
Сохраняя постоянный доступ к инфраструктуре, злоумышленники технически способны изучать внутреннюю сеть, перехватывать трафик и собирать чувствительные данные. Более того, они могут перепродавать эту информацию (доступы к учётным записям, например) и таким образом получать дополнительный источник дохода".
Закрытие сети аптек "Столички" 29 июля 2025
Плата за наивность
"Вопрос, сколько тратить на ИБ достаточно, сродни главному вопросу Вселенной. Он не имеет однозначного ответа, хотя есть очень условная оценка в 13% от ИТ-бюджета, — объясняет Алексей Лукацкий. — Это некая усреднённая оценка по большинству исследований, проведённых в разных странах и отраслях в последние годы. Разумеется, где-то цифры могут быть выше и доходить до 20% от ИТ-бюджета или 0,6-0,7% от годовой выручки компании. Где-то они могут быть меньше. Всё зависит от определённых компанией недопустимых событий, её стратегии по цифровизации, ранее сделанных инвестиций и других параметров".
Эксперт особо подчёркивает, что большинство атак по-прежнему начинаются с человеческой ошибки. Почти все атаки начинаются с фишинга или украденного пароля сотрудника. Архитектура не способна предотвратить это (если полностью не отказываться от любых коммуникаций).
“
"Ответственность всегда на генеральном директоре, который должен иметь представление обо всех недопустимых событиях в своей компании и регулярно задаваться вопросом: а мы готовы к тому, что эти события реализуются? А реализоваться они могут в мире физическом и в мире виртуальном. В первом случае за их предотвращение и снижение тяжести последствий отвечают директор по безопасности, главный юрист, финансовый директор и т. п. Во втором случае бремя ответственности распределяется между ИТ и ИБ. Но если топ-менеджмент игнорирует ИБ, то стучаться в стеклянный потолок можно, но это больно и бесполезно", — говорит Лукацкий.
Его слова могут показаться несколько жёсткими, но, действительно, никакие файерволлы и EDR-системы не спасают, если хакер просто звонит в техподдержку и просит пароль. Это реальная история — хакер притворился сотрудником и сказал, что забыл пароль. В итоге они проникли в сеть американской компании Clorox, крупного производителя бытовой химии с капитализацией $16 млрд. Оператор даже не уточнил имя или ID звонящего, а просто выдал ему новые учётные данные. Сама Clorox оценила ущерб в $380 млн.
Лукацкий акцентирует внимание на двух типичных ошибках: "Отсутствие мониторинга внутри компании (почему-то мы считаем нужным ставить видеокамеры внутри зданий, но забываем, что ИТ-инфраструктура нуждается в аналогичных средствах контроля) и забывчивость в отношении резервного копирования, из которого всегда можно восстановить данные и приложения, если они были удалены хакерами".
Ситуация в аэропорту Шереметьево 28 июля 2025 после атаки на сервера "Аэрофлота".
Невидимые потери
Ещё одним из свежих кейсов 2025 года стала атака на сеть магазинов "Винлаб". По данным Solar 4RAYS, вредоносная активность в корпоративной инфраструктуре привела к временной блокировке кассовых терминалов, задержке поставок и частичному нарушению бизнес-процессов. Несмотря на то что не было зафиксировано утечки данных, сама эксплуатация ресурсов уже создала убытки. То есть компания может пострадать, даже не зная о заражении.
"Группировка Proxy Trickster использует ресурсы заражённых машин для майнинга и proxyjacking, что может привести к снижению производительности, росту затрат на электроэнергию и трафик. А также увеличить риск утечки конфиденциальной информации, — приводит пример Владимир Степанов, — это может вызвать значительные финансовые потери и репутационные риски".
По мнению Лукацкого, восприятие ИБ как статьи расходов, а не доходов — общая проблема.
“
"Вопрос в другом — способен ли руководитель ИБ продемонстрировать пользу от своей деятельности или нет. А она, безусловно, есть. Снижение времени вывода продукта на рынок, рост лояльности клиентов, географическая экспансия, снижение затрат на Интернет, снижение регуляторных рисков, снижение потерь... Всё это примеры тех преимуществ, которые ИБ может показать топ-менеджменту", — резюмирует он.
