Миллиардные убытки, остановка работы, удар по репутации — таков результат последней волны кибератак на российский бизнес. Особенно пострадал ряд крупных предприятий ретейла, недооценивших риски растущей изощренности действий хакеров
Работа более чем 2000 магазинов оказалась парализованной в результате онлайн-атаки на розничную сеть алкогольных напитков «Винлаб». 14 июля киберпреступникам удалось проникнуть в ИТ-инфраструктуру предприятия. Хакеры действовали по классической схеме виртуальных вымогателей, запустив во внутреннюю сеть вирус-шифровальщик — программу, молниеносно шифрующую ценные базы данных.
Далее взломщики предложили владельцам купить ключ от шифра, однако переговоры не состоялись. «Злоумышленники вышли на связь и выдвинули требование о выплате денежного вознаграждения. Компания придерживается принципиальной позиции неприятия любых форм взаимодействия с киберпреступниками и категорически отказывается от выполнения их требований», — говорится в официальном заявлении компании Nobaev Group, которой принадлежит сеть магазинов «Винлаб».
Быстро восстановить поврежденные базы не удалось, в результате работу большей части магазинов «Винлаб» в разных российских регионах пришлось приостановить на несколько дней. Бизнес-модель компании построена на том, что ее офлайн-точки работают фактически как пункты выдачи заказов, которые клиенты делают через интернет. Отсюда критическая зависимость предприятия от ИТ-системы, любой сбой в которой приведет к остановке продаж. По оценкам аналитического агентства INFOLine, в текущем году дневная выручка «Винлаба» составляет от 200 до 300 млн рублей в день. А значит, убытки от хакерской атаки могут достигать нескольких миллиардов.
Представители сети отказались комментировать подробности инцидента, ограничившись кратким официальным заявлением. История «Винлаба» стала одной из наиболее громких, однако нынешним летом от киберпреступников пострадала не только эта компания.
Представители другого ретейлера, 12 Storeez, который занимается продажей модной одежды, 16 июня в своем дзен-канале публично объявили, что «подверглись самой масштабной хакерской атаке в истории бренда». В ночь с 8 на 9 июня мошенники проникли в сеть компании через уязвимость в системе «1С», где не была включена двухфакторная аутентификация (метод защиты данных, при котором для входа в систему применяется два независимых способа подтверждения личности).
Такая оплошность позволила преступникам получить доступ к ИТ-инфраструктуре предприятия, зашифровать и удалить данные, а также, как признались в 12 Storeez, повредить 30% резервных копий. Из-за этого инцидента в магазинах наблюдались сбои в работе касс, образовались очереди, временно перестали открываться сайт и мобильное приложение.
За ключи дешифровки хакеры потребовали 20 млн рублей — пообещав, что атаки повторяться не будут, а информация об уже случившейся не выйдет наружу. «Но мы решили не договариваться с преступниками», — сообщили в 12 Storeez и оперативно привлекли опытных ИТ-специалистов для устранения проблемы.
В итоге нормальную работу магазинов сети удалось восстановить в течение двух дней, а ущерб от кибератаки в общей сложности составил около 48 млн рублей, из них 23 млн — убытки от простоя офиса, 20 млн — недополученная выручка, 5 млн — расходы на экспертов по кибербезопасности.
Болезненным онлайн-атакам в конце июля подверглись также крупные сети аптек «Неофарм» и «Столички». Оба предприятия входят в группу «Неофарм», которая, по данным DSM Group, занимает шестое место (5,05%) по продажам среди российских аптечных сетей. Общее количество розничных точек компании превышает 1600, из-за атаки часть из них приостановила работу на сутки и более. В течение нескольких дней не работали сайт и система бронирования товаров. Представители сети отказались раскрыть размер нанесенного ущерба, но поскольку, по разным оценкам, средняя дневная выручка аптек этих сетей в общей сложности составляет 300 млн рублей, убытки могут быть миллиардными.
Московская сеть клиник «Семейный доктор» также столкнулась с проблемами из-за кибератак: пациенты не могли получить доступ к личному кабинету и сервису онлайн-записи. Впрочем, с последствиями инцидента компании удалось справиться в течение суток, после чего сервисы предприятия вернулись в штатный режим работы.
Жертвой хакерской атаки в конце июля стала и розничная сеть продуктовых товаров «Доброцен», которая насчитывает около 900 магазинов в разных регионах России и в странах СНГ. В результате пришлось временно закрыть все офисы компании (в Москве, Санкт-Петербурге, Екатеринбурге, Самаре), более суток не работали распределительные центры и склады. Сейчас все точки «Доброцен» функционируют в штатном режиме, о размере ущерба не сообщается. «Мы включили резервные процессы, перешли на ручное управление, сформировали антикризисный штаб и оперативно восстановили ключевые функции. Сейчас компания работает стабильно, — говорит Татьяна Павловская, директор по маркетингу сети “Доброцен”. — Мы усилили контроль, изменили внутренние протоколы и поняли главное: надежность не в дорогих системах, а в скорости реакции, в командной слаженности»
Порядка сотни авиарейсов были отменены утром 28 июля в результате масштабной виртуальной атаки на компанию «Аэрофлот». О причастности к кибернападению объявили две связанные с Украиной хакерские группировки — «Киберпартизаны BY» и Silent Crow. По их заявлению, преступники находились внутри корпоративной сети «Аэрофлота» на протяжении года и «методично развивали доступ, углубляясь до самого ядра инфраструктуры». Хакеры утверждают, что их целью было «нанести финансовый ущерб РФ и привести к транспортному коллапсу» и что во время атаки они якобы уничтожили 7000 серверов. Представители авиакомпании признали факт атаки, но с ее последствиями удалось справиться всего за полдня: к обеду 28 июля расписание рейсов восстановилось. Хотя пользователи до сих пор жалуются на сбои в работе сайта «Аэрофлота», связанные, в частности, с использованием программы лояльности.
Об украинском следе сообщается и в связи со взломом сети «Винлаб». По данным онлайн-издания Life, в данном инциденте замешана группировка Hacken, в состав которой входят бывшие менеджеры «Укроборонпрома» и корпорации «Укринмаш». По информации Mash, штаб-квартира Hacken расположена в Таллине, а основная часть команды находится в Лиссабоне. Группировка сотрудничает с западными спецслужбами, сейчас в ее штате трудится порядка 110 человек.
Специалисты по информационной безопасности (ИБ) обращают особое внимание на то, что в последнее время резко возросло число хорошо подготовленных и тщательно спланированных кибератак. Согласно исследованию ИБ-компании BI.ZONE, доля инцидентов, сопряженных со сбором данных об уязвимостях в ИТ-системах жертвы, увеличилась более чем в пять раз. Всего за шесть месяцев 2025 года 39% всех действий хакеров в системах отечественных компаний были связаны с так называемой киберразведкой, когда преступники стараются собрать как можно больше информации до нападения.
По сведениям ИБ-компании Solar 4RAYS, в первом полугодии 2025 года большая часть (68%) расследований пришлась на атаки с целью шпионажа, что на 7 п. п. больше, чем в первом полугодии 2024-го. Доля вредоносной активности, направленной на вымогательство или майнинг криптовалют, выросла на 8 п. п. год к году, до 20%. А вот количество атак «хактивистов», действующих с целью привлечения внимания (включая уничтожение инфраструктуры и публикацию украденных баз данных), сократилось на 4 п. п., до 8%. Для сравнения: еще в 2023 году этот показатель достигал 35% (см. график 1). По мнению экспертов Solar 4RAYS, такая статистика говорит о смене целей хакеров. Теперь они заинтересованы не столько в громких кейсах, а сколько в получении денежных средств и ценной информации о деятельности ведущих российских организаций.
Кроме того, выросла длительность киберинцидентов. В этом году доля онлайн-атак продолжительностью до одной недели составила 32% (в прошлом году — 38%); доля атак длительностью до месяца увеличилась почти вдвое, до 16%, а время еще 16% инцидентов превышает два года (см. график 2). При этом, по данным BI.ZONE, в первом полугодии 2025 года наибольшее число кибератак с целью разведки было совершено именно в отношении российского ретейла. На втором месте медиа, на третьем — ИТ и телекоммуникационная отрасль.
Опрошенные «Моноклем» специалисты признают, что российский бизнес недооценил риски растущей киберпреступности, и пример «Винлаба» здесь показателен. Розница все еще уязвима для хакеров — в отличие, например, от финансовой сферы, где внедрением ИБ-решений занимаются давно и серьезно. «История с “Винлабом” просто классическая. Сотни торговых точек, разрозненные системы, кассовые и складские контуры, которые обновляются неравномерно. Достаточно “пробить” один сегмент, чтобы волной пошли сбои по всей сети. Для бизнеса с высокой оборачиваемостью, где каждая касса — генератор выручки, это весьма болезненно», — комментирует Максим Захаренко, исполнительный директор компании «Облакотека».
То, что в «Винлабе» хакеры смогли повредить базу данных, свидетельствует о том, что в компании не уделяли должного внимания такому важному базовому принципу ИБ, как обязательное резервное копирование всей важной информации, — в таком случае при повреждении основной базы данных достаточно переключиться на резервную. «Кейс “Винлаба” показателен тем, что удар пришелся по сети с широкой региональной инфраструктурой и зависимостью от онлайн-операций. Сеть одновременно управляет продажами, логистикой и клиентскими сервисами через цифровые системы, а взлом затронул критические базы данных и нарушил процессы в нескольких регионах. В ретейле каждая минута простоя — это прямые убытки, поэтому последствия там оказались особенно значимыми», — отмечает Павел Карасев, бизнес-партнер компании «Компьютерные технологии».
«В отношении “Винлаба” даже поверхностный анализ убытков показывает, что выгоднее было инвестировать в ИБ, — соглашается в своем телеграм-канале бизнес-консультант по информационной безопасности Алексей Лукацкий. — Хочется надеяться, что инцидент с “Винлабом” станет для всей отрасли сигналом к действию. Расходы на информационную безопасность — это не абстрактные вложения, а страховой полис для всей бизнес-модели, который позволяет защитить не только данные, но и доверие клиентов, операционную устойчивость и финальную прибыльность бизнеса».
Просчеты в реализации ИБ-стратегии допустили и другие пострадавшие. «Можно предположить, что атаковать аптеки “Столички” и “Неофарм”, клинику “Семейный доктор” и магазины “Доброцен” оказалось проще, поскольку эти компании наверняка не имели серьезных инфраструктурных решений с точки зрения безопасности. “Столички” и “Неофарм” принадлежат одной группе компаний и могли базироваться на единой сетевой инфраструктуре, поэтому, взломав одну сеть, злоумышленники автоматически получили доступ и к другой», — рассуждает Виктор Журавков, руководитель дата-центра ESTT.
Впрочем, пример «Аэрофлота» показал, что от болезненного удара не застрахованы даже крупные компании. «Атака на “Аэрофлот” демонстрирует, что корпорации с мощными ИТ-ресурсами тоже уязвимы, — продолжает Павел Карасев. — В случае российского авиаперевозчика ключевую роль сыграла сложность инфраструктуры: распределенные системы бронирования, платежные шлюзы и внешние интеграции с партнерами создают множество точек входа. По имеющимся данным, атака была целенаправленной, причем хакеры стремились к получению информации, а не к моментальному выведению сервисов из строя, что усложнило раннее обнаружение. Атаки же на клинику “Семейный доктор”, “Столички”, “Неофарм” и “Доброцен” показывают новую тенденцию: киберпреступники все чаще выбирают медицинские и фармацевтические сети, где аккумулируются медицинские и персональные данные клиентов, которые ценятся на черном рынке выше, чем, например, данные банковских карт. Кроме того, медицинские компании часто работают на стыке ИТ и специализированного программного обеспечения для учета пациентов, а там обновления и защита могут быть менее системными».
Российскому бизнесу следует принять во внимание, что действия хакеров становятся все изощреннее. «Из громких киберинцидентов этого лета можно сделать несколько выводов. Во-первых, преступники сейчас предпочитают точечный взлом бизнесов с высокой ценностью данных и критической зависимостью от цифровых сервисов. Во-вторых, заметен рост атак через подрядчиков и интеграционные платформы: хакеры ищут слабое звено в цепочке поставок. В-третьих, фокус смещается с мгновенного разрушения на кражу данных и долгосрочное удержание доступа, что делает угрозу более скрытой», — подчеркивает Павел Карасев.
«Произошедшие инциденты — это не просто единичные атаки, а серьезный сигнал для всего российского бизнеса, — предупреждает Алексей Ахмеев, руководитель управления информационной безопасности АО “Свой банк”. — Компаниям следует рассматривать развитие ИБ как стратегическую инвестицию, а не как очередную статью расходов. В противном случае кибервзломы станут не исключением, а новой нормой».
Эксперт отмечает, что крупные корпорации часто разрешают подрядчикам и партнерам подключаться к своей внутренней ИТ-сети, и мошенники входят в сеть через партнеров, которые оказываются плохо защищены. Большой проблемой, по словам Алексея Ахмеева, являются и так называемые теневые ИТ-решения — давно установленные, порой устаревшие программы, на которые не обращают должного внимания. «Чем больше компания, тем больше и сложнее ее ИТ-ландшафт. Некоторые ресурсы просто теряются в обилии рабочих ИТ-систем — о них забывают, они морально устаревают, становясь уязвимыми для злоумышленников. Вот эти “теневые ИТ” и становятся точкой входа во внутренний контур компании для киберпреступников, — объясняет представитель АО “Свой банк”. — Попав во внутреннюю сеть, злоумышленник может долго находиться в ней и без применения специализированного программного обеспечения изучать ИТ-инфраструктуру, просто “слушая” внутренний трафик и определяя, где и какие системы находятся, как они взаимосвязаны и как защищены. Современные хакеры имеют достаточно высокий уровень технической подготовки, чтобы на протяжении нескольких месяцев оставаться внутри сети предприятия, готовя атаку, которая нанесет критический ущерб».
Специалисты по ИБ полагают, что всплеск киберинцидентов заставляет говорить о новых понятиях в противостоянии хакерам. «Киберустойчивость теперь важнее, чем киберзащита в привычном понимании, — подытоживает Максим Захаренко. — Бизнесу нужно считать ИТ-риски, включая финансовые, строить сценарии по реальным угрозам, держать изолированные резервные копии, сегментировать сети, контролировать доступы и интеграции с подрядчиками. А еще иметь план “жизни без ИТ” на несколько суток. Хакеры комбинируют инструменты: шифруют данные, рушат сервисы, давят через медиа. Ответом должны быть не только новые “файрволы” — решения защиты, но и грамотная инженерия устойчивости, чтобы даже в случае атаки бизнес не вставал, а просто переключался на резервные рельсы».