Знакомство с хакерами: кто стоит за кибер-атаками на российский бизнес и как не стать жертвой взломщиков
5400 кибератак на Россию случилось в первой половине 2025 года. Годом ранее было 3500. Рост - на 54%! Фото: Hryshchyshen Serhii/Shutterstock/Fotodom.
ХАКТИВИСТЫ УШЛИ В ВЫМОГАТЕЛИ
5400 кибератак на Россию случилось в первой половине 2025 года. Годом ранее было 3500. Рост - на 54%! Такие цифры озвучил Роскомнадзор. Атаки хакеров нацелены прежде всего на финансовый сектор (банки, страховые компании), IT и телекоммуникационные компании, а также на предприятия электронной торговли.
Но июле хакеры атаковали как минимум пять российских компаний, не имеющих отношения к этим сферам: авиаперевозчика «Аэрофлот», сеть алкомаркетов «Винлаб», аптечные сети «Столички» и «Неофарм», клинику «Семейный доктор».
Эксперты выделяют три главных мотива хакерских атак.
1. Вымогательство денег
Типичный случай - атака на «Винлаб». Хакеры вывели из строя серверы, ответственные за учет отгрузки продукции. Из-за этого несколько дней 2100 магазинов сети не работали. За восстановление работы программ хакеры потребовали выкуп (сумму компания не озвучила), но «пострадавшие» не купились на шантаж. Убытки превысили 1 млрд рублей. Сейчас сеть снова работает.
- Обычно главный мотив таких нападений - это вымогательство денег, чтобы нейтрализовать вредоносные программы, которые удалось внедрить объекту нападения, - сказал «КП» основатель компании «Юнисофт» Алексей Оносов. - Кроме того, при хакерской атаке похищаются персональные данные.
Затем эти данные продают в теневом интернете. После чего они могут использоваться для мошенничества, а если это личные фото и переписки – то для шантажа.
Более того, отмечают эксперты, хактивисты (хакеры-активисты), которые везде говорят, что работают за идею, все чаще смещаются к вымогательству.
Полученные данные хакеры продают в теневом интернете. После чего они могут использоваться для мошенничества, а если это личные фото и переписки – то для шантажа. Фото: Creativa Images/Shutterstock/Fotodom.
2. Посеять хаос
Яркий пример - ситуация «Аэрофлота».
- Это типичная террористическая атака, цель которой - посеять хаос, - сказал «КП» член Ассоциации руководителей служб информационной безопасности Александр Токаренко. - Уверен, что это дело рук украинских спецслужб, Центра информационно-психологических операций (ЦИПсО). Громкие акции, общественный резонанс, возможность отчитаться, что не даром тратят западные деньги.
Похоже, так и есть - ответственность за нападение на «Аэрофлот» взяли на себя две антироссийские хакерские группировки. И никакой выгоды от громкой атаки на авиакомпанию хакеры не поимели. Только лишили компанию выручки и испортили жизнь тысячам пассажиров, чьи рейсы были отменены.
Ситуация «Аэрофлота» - это типичная террористическая атака, цель которой - посеять хаос. Фото: KieferPix/Shutterstock/Fotodom.
3. Спортивный интерес, повышение своей «квалификации»
Еще один мотив - слабая защита. Взламывают того, кого удалось взломать. «По приколу», для отработки навыков, повышения личного рейтинга, для портфолио, когда будут в банду устраиваться.
- На хакерских форумах бригады ищут себе людей, - рассказал «КП» эксперт в области информационной безопасности в финансовом и технологическом секторах Сергей Белов. - Заработки высокие. Фиксированная часть от 1000 долларов (за успешный взлом, - Ред.), а если команда удачливая, да и человек известный в узких кругах, то могут и 10 тысяч положить. Но основная часть - за счет процента. То есть если человек успешно взламывает, получает доступы, добирается до критических данных, то его доход может составлять до 100 тысяч долларов в месяц, а то и более.
Взламывают того, кого удалось взломать. «По приколу», для отработки навыков, повышения личного рейтинга, для портфолио, когда будут в банду устраиваться. Фото: Antonio Guillem/Shutterstock/Fotodom.
КАК ОНИ РАБОТАЮТ
- Получив заказ на обрушение конкретной компании, или самостоятельно выбрав объект охоты, хакеры первым делом сканируют интернет-пространство. Проверяют домены компании, профили сотрудников в соцсетях и т. д., - рассказала «КП» доцент факультета информационных технологий Финансового университета при Правительстве РФ Анна Овсянникова. - Самая слабая точка - это не сервер, не код, не защита, а человек.
Один сотрудник, который оставил свое резюме в открытом доступе, может невольно стать первым звеном в атаке. Из подробного резюме можно вытащить название подразделения, доступ к технологиям, которые использует сотрудник. Бывает, в резюме указываются корпоративные email-адреса. В описаниях встречаются фамилии руководителей, коллег. Некоторые для подтверждения своих достижений прикрепляют файлы с внутренними презентациями и проектами.
Получив информацию о других сотрудниках, хакеры собирают в открытых источниках данные уже о них. И таким образом выстраивается карта компании.
Затем начинается точечная атака. Сотрудникам шлют фишинговые письма от имени HR, финансового директора, IT-отдела.
Выглядит это убедительно, потому что используется реальный стиль общения в компании. Хакеры знают, кто к кому как обращается - по имени, на ты, на вы.
- Достаточно одному сотруднику поверить и кликнуть по ссылке, содержащей вредоносную программу, и все - злоумышленник уже внутри системы, - говорит Овсянникова. - Дальше, анализируя переписку тех, в почту которых удалось проникнуть, или внутренний чат, если удалось зайти на него, хакер находит сотрудников, у которых больше прав доступа к внутренней компьютерной информации. И уже им подсовывают фишинговое письмо как бы от «своего».
Затем злоумышленник с помощью специальных программ и файлов пытается получить права системного администратора компании… И в случае удачи хакер может творить с программным обеспечением практически все, что хочет.
- Целью является получение доступа к файлообменникам, серверу с базой данных, - объясняет Анна Овсянникова.
Хакерская атака выглядит это убедительно, потому что используется реальный стиль общения в компании. Хакеры знают, кто к кому как обращается - по имени, на ты, на вы. Фото: Elnur/Shutterstock/Fotodom.
В результате необходимые для работы файлы оказываются пораженными - в айтишной среде говорят «зашифрованными», это их вирус зашифровал. За расшифровку вредоносная программа требует выкуп - как правило, в криптовалюте. Дается срок. Если не расшифровать (а нападающие сделают это только после получения выкупа), то файлы автоматически уничтожаются.
- Завершающий этап - отход с удалением следов своего пребывания, - продолжает Овсянникова.
Путь от безобидного резюме до полного контроля над внутренними ресурсами компании может занять недели, а иногда и месяцы. За такими тщательно спланированными атаками, отмечает Овсянникова, нередко стоят профессиональные группы, действующие в пользу недружественных государств, в том числе Украины, или преступных группировок.
Что почем
Фото: Дмитрий ПОЛУХИН. Перейти в Фотобанк КП
ФИНАНСЫ МОГУТ ВЫДОХНУТЬ
Атакующий арсенал у хакеров небогатый, но эффективный.
- Самый распространенный способ получения персональной информации - это фишинг, - говорит Оносов. - Приходит письмо якобы от банка с просьбой подтвердить данные карты. Выглядит убедительно, многие ведутся.
Узнав персональные данные человека, хакер действует под его личиной. Дальше — уязвимостей в ПО, внедрение через эти «двери» вредоносного оборудования.
Самый распространенный способ получения персональной информации - это фишинг. Приходит письмо якобы от банка с просьбой подтвердить данные карты. Выглядит убедительно, многие ведутся. Фото: Brian A Jackson/Shutterstock/Fotodom.
Достаточно простой и эффективный метод парализовать компанию — это организовать DDoS-атаку.
- Помню, у одного нашего клиента сервер лежал три дня, - говорит Оносов. - Ему несколько раз в секунду приходили заказы на книгу. Ложные, естественно.
Частный вид такой атаки — заспамить. Завалить почту компании пустыми письмами, в этом массиве потеряются действительно значимая корреспонденция. Шалости в стиле старухи Шапокляк, но работают.
В ближайшее время атак будет только больше, уверены эксперты.
- Злоумышленники массово используют интернет для генерирования фишинговых писем, преодоления систем защиты, анализа уязвимостей, - говорит основатель компании NETRACK Алексей Рубаков. - Не стоит забывать и про IoT-хаос: к 2025 году к сети подключено 75 млрд устройств - от умных холодильников до промышленных дронов. Каждое из них - потенциальная дверь для злоумышленников. Под угрозой критическая инфраструктура: энергосети, транспорт, больницы. Взлом такой системы - уже не просто утечка данных, а угроза жизни людей.
В пользу пессимистичного прогноза говорит и то, что вредить станет… проще.
- Кибероружие (речь о вредоносном ПО и оборудовании, предназначенном для нанесения ущерба в киберпространстве — Авт.) дешевеет и становится доступным даже неспециалистам, - сказал «КП» эксперт компании СЕО «Облакотека» Максим Захаренко. - Кроме того, все больше бизнес-процессов завязано на интернет и облака — а, значит, точек входа становится больше.
Каким компаниям надо приготовиться к отражению атак?
- Топливно-энергетический комплекс и госсектор остаются лакомым куском для хактивистов и группировок, за которыми стоят недружественные государства, - говорит Рубаков. - Атака на нефтепровод или электростанцию - это и экономический ущерб, и повод для враждебного пиара. Возможен рост числа атак на сферу услуг - кинотеатры, парки развлечений. А вот финансы могут выдохнуть: банки вложили миллиарды в защиту, и пробить их периметр стало сложнее.
То, что банкиры в форме, подтверждают и другие эксперты.
- В одном из крупных банков была история, я к ней имел отношение, - рассказал директор по кибербезопасности ООО «АБТ» Дмитрий Беляев. - В программное обеспечение, предназначенное для российских пользователей, разработчик внедрил вредоносный фрагмент, решил, видно, насолить. Мы его «словили», когда обновлялись. Зараженный код едва не проник в самую суть инфраструктуры. К счастью, наш трафик проходил через многоуровневую защиту, и то пришлось все отлавливать и вычищать — человек тридцать в три смены пару суток трудились у мониторов.
А небольшим компаниям не стоит расслабляться – именно они часто становятся тренировочной площадкой для обкатки уязвимостей, обратил внимание Захаренко.
ПРАВИЛА КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ
- Большинство атак это не суперсложная спецоперация, а фишинг, уязвимость, человеческая ошибка, - говорит Овсяннникова. - Главное заблуждение это думать, что ты слишком мелкий, чтобы быть целью хакеров. Наоборот, мелкий бизнес, фрилансер, сотрудник без знаний в кибербезопасности являются идеальной целью. У них нет защиты, нет плана, нет ресурсов. Они сдаются первыми.
Главное заблуждение это думать, что ты слишком мелкий, чтобы быть целью хакеров. Наоборот, мелкий бизнес, фрилансер, сотрудник без знаний в кибербезопасности являются идеальной целью. Фото: DC Studio/Shutterstock/Fotodom.
Но большинство атак можно предотвратить. Эксперты перечислили нам простые правила компьютерной безопасности.
- Максимально использовать двухфакторную аутентификацию. Как, например, на Госуслугах. Сначала ты вводишь пароль, потом на телефон приходит разовый код.
- Не использовать один и тот же пароль для входа на разные ресурсы. И пароль должен быть сложным.
- Не кликать на ссылки - не только от незнакомцев, но от знакомых, если ты эту ссылку не просил. Почта знакомого или его аккаунт в соцсетях могут быть взломаны.
- Уметь определять фишинговые сайты. Зачастую это несложно. Например, у таких сайтов нередко полная абракадабра в адресной строке. Или одна буква отличается от официального известного ресурса. Например, Vildberries вместо Wildberries или Eldarado вместо Eldorado.
ХАКЕР НЕ ПОМОЖЕТ
Услугами хакеров стремятся воспользоваться не только нечистоплотные бизнесмены, желающие насолить конкуренту, или компьютерные воришки. Искушение нанять онлайн-взломщика может порой охватить и в меру добропорядочного гражданина.
Вот какому-то не понравилась статья на сайте — отчего бы не попытаться ее удалить? Другой когда-то проходил по делу, оправдали, сто лет прошло, но в судебных и полицейских базах информация осталась. В нормальный банк или в правительство уже не устроишься — безопасники первым делом пробьют открытые базы, и кто там будет разбираться, он украл или у него украли: скомпрометирован — получай отказ.
Третий одолжил по доброте душевной старому приятелю кругленькую сумму, а тот все не отдает. «Денег нет, - говорит, - болел, на врачей потратил». А сам в Сочи два раза в год ездит. Суд - дело хлопотное и ненадежное: вдруг он свои карты обнулил. А вот если бы кто-то помог заглянуть на его счет да еще и на счета его супруги или родителей — как там, есть денежки? А если есть, то может снять по-тихому долг — и дело с концом.
Как бы во всех этих случаях пригодился благородный хакер!
И предложения оказать деликатные услуги в киберпространстве, максимально замаскированные, но все же понятные, время от времени появляются не только в даркнете, но и на интернет-сервисах.
- Не стоит поддаваться такому искушению - это уголовная зона для всех участников такой «операции», - говорит «КП» эксперт по безопасности программного обеспечения Евгений Фроликов. - Кроме того, в реальности исполнители часто «кидают» клиентов или используют полученную от них информацию против них же.
Не стоит обращаться за услугами хакеров - это уголовная зона для всех участников такой «операции». Фото: lunopark/Shutterstock/Fotodom.
IT-БЕЗОПАСНИКИ: ДЕШЕВЛЕ БЕЗ ПОЛИСА
От кибератак можно застраховаться — как от несчастного случая. Называется это - страхование информационных рисков. Однако пока такая услуга не очень популярна.
- В структуре сборов этот вид страхования занимает менее 1 процента, - сказал «КП» глава Национальной страховой информационной системы (НСИС) Николай Галушин.
По его словам, спрос растет, но не сказать, что большими темпами - слишком много ограничений. Это требование по раскрытию информации об архитектуре безопасности, высокая стоимость страхования, отсутствие активного предложения продукта со стороны самих страховых окмпаний.
И даже после недавних атак на «Аэрофлот» и другие компании ничего особенно не изменится, считает эксперт: рынок страхования слишком инертен.
С другой стороны, специалисты по компьютерной безопасности сами пока не готовы рекомендовать своим боссам страховаться от взломщиков.
- В российском сегменте практика страхования не слишком развита, - сказал «КП» Сергей Белов. - Для того, чтобы застраховаться, особенно, за адекватные деньги, необходимо предоставить страховой компании информацию о том, какие меры у тебя в компании принимаются для защиты своих активов. Это могут быть заключения о проведенных тестированиях на проникновение, информация об используемом защитном ПО…
Разглашать секреты не хочется. Действительно, команда выстраивала защиту, тратила деньги, напрягала извилины — и вот, пожалуйста, выложи все это на блюдечке чужому дяде. Сто раз подумаешь…
- При передаче данных об ИБ-архитектуре (организации информационной безопасности — Ред.) возникает риск расширения периметра доверия, - витиевато, чтобы никого не обидеть, говорит айтишник Белов. - Это требует особых гарантий по конфиденциальности, контролю доступа, уничтожению переданных материалов после того, как представитель страховой компании оценил их надежность.
То есть если напрямоту, то, похоже, нет у людей уверенности, что важные сведения о безопасности их компаний не утекут, куда не надо.
Еще одна причина — страхование может попросту оказаться невыгодным. Многие кибератаки связаны с хищением персональных данных.
- Уведомление об их утечке должно быть отправлено в Роскомнадзор, но широкая огласка таких фактов и крупные коллективные иски со стороны потерпевших, как это делается в других странах, у нас не практикуются, - говорит Белов. - Поэтому особых репутационных рисков не возникает. А официальные штрафы за утечку относительно невелики.
Но так ли это? Штрафы от Росконтроля варьируются от 1 млн до 20 млн рублей в зависимости от масштаба и категории утечки, а при повторных инцидентах могут достигать 3% годовой выручки, но не более 500 млн рублей. Для сравнения - полноценный полис с лимитом в 500 млн рублей, по словам самого Белова, обойдётся в 3–6 млн рублей в год. То есть полис может быть выгоднее?
- Все равно нет, - говорит эксперт. - К тому же для страхования нужно еще провести аудит систем безопасности, а это тоже расходы. Да и при атаке не всегда есть уверенность, что ущерб будет признан страховым случаем. В итоге есть риск потерять дважды — заплатить за полис и нести убытки от хакерской атаки.
Поэтому во многих компаниях считают, что деньги лучше потратить на развитие кибергигиены и обучение сотрудников.
От кибератак можно застраховаться — как от несчастного случая. Фото: Pingingz/Shutterstock/Fotodom.
Еще один аргумент айтишников против страховки — она тормозит прогресс.
- Я рассматривал возможность страхования, но условия мне не подошли, - поделился с «КП» директор по кибербезопасности ООО «АБТ» Дмитрий Беляев. - Простыми словами, страхуя риски, компания лишается возможности развития информационной безопасности. По условиям страхования, пока действует полис, ты не имеешь права ничего менять в ПО. Какими были системы защиты на момент получения полиса, такими они должны оставаться на все время его действия. Логика страховщиков такая: вдруг вы своими действиями ослабите защиту? Но тогда мы что, должны стоять на месте, не развиваться?
Есть продукт попроще - так называемое «коробочное» страхование. Полис стоит 100–250 тыс. рублей при лимите выплат 10 млн–50 млн рублей. Но оно типовое, не учитывает специфики компании и не включает такие убытки, как компенсации вынужденных выплат хакерам, серьезных простоев, а также атаки, к которым причастны госструктуры недружественных стран, уточнил Белов.
Интересно, а бывали случаи выплат страховок? Оказывается, есть, как минимум один такой случай!
СОГАЗ выплатил 150 млн рублей одному из крупнейших промышленных предприятий России, которое подверглось масштабной хакерской атаке. «Злоумышленники получили несанкционированный доступ к IT-инфраструктуре предприятия и зашифровали данные в информационных системах с целью получения выкупа за ключ для их восстановления», говорится на сайте страховой компании. С предприятием все нормально, работает. В том числе и благодаря помощи «ведущих компаний в сфере кибербезопасности». Заплатили выкуп кибербандитам или нет — не сообщается.
СКОЛЬКО СТОИТ ЗАСТРАХОВАТЬСЯ ОТ МОШЕННИКОВ
Далеко не у всех страховых компаний вообще есть такая услуга. А некоторые, как например, ВСК, страхуют только юридические лица.
- Договор заключается на год, а страховая сумма определяется индивидуально, исходя из предполагаемых убытков и набора рисков, - сообщили «КП» в ВСК. - Полис обойдется в 0,5-1,5% от страховой суммы. Для крупной компании из финансового либо промышленного секторов стоимость полиса может составлять от нескольких миллионов до десятков миллионов рублей.
В Ингосстрахе масштабы поменьше. Там максимальная страховая сумма — 10 млн руб. Годовой полис в этом случае обойдется в 70 тыс руб. Все открыто — калькулятор на сайте. В компании страхуют еще и физлиц. Но не всех и не всегда — а только при покупке полиса ОСАГО. Плати 499 руб в месяц, и будет у тебя страховка на 45 тысяч. Причем не только от мошенников, но и, например, от грабителей, если те отнимут карточку или полученные в банкомате деньги. Но если у человека уже есть ОСАГО и он вдруг решил еще и от мошенников застраховаться, то не выйдет. Придется ждать, пока не придет время оформлять новый ОСАГО. И еще важно: страховать будут только ту карту, с которой оплатил ОСАГО.
А в Сбербанк-страховании граждане могут застраховаться от мошенников на сумму от 100 тыс до 6 млн рублей. К примеру, годовая страховка на миллион обойдется в 21740 руб. К страховым выплатам здесь подошли дифференцированно. Если жулики выведут деньги с карты из-за утечки персональных данных, то выплаты — до миллиона. А если мошенники выяснят паспортные данные или взломают госуслуги и возьмут на имя жертвы кредит — то только до 200 тыс. Или позвонят под видом сотрудника банка или полицейского, и вы сами переведете им деньги, то больше чем на 150 тыс даже и не рассчитывайте — потому что сами виноваты: об этих сценариях нас предупреждают из каждого утюга, а некоторые все равно попадаются.
Далеко не у всех страховых компаний вообще есть услуга страхования от мошенников. А некоторые, как например, ВСК, страхуют только юридические лица. Фото: Media_Photos/Shutterstock/Fotodom.
ИЗ ИСТОРИИ ВОПРОСА
Самые громкие кибератаки в России…
2017 год. Сеть медицинских лабораторий «Инвитро» приостановила прием биоматериала. Сеть взломали с помощью вируса Petya. Несколько дней клиенты не могли получить результаты лабораторных исследований, срывались плановые операции. Компания за несколько дней восстановила работу сервисов и постоянно информировала пользователей о своих действиях.
2022 год. Атака на отечественный видеохостинг RuTube случилась 9 мая, ответственность за это взяла на себя европейская хакерская группировка Anonymous, выступающая против России. Как сообщал RuTube: «Кто-то изо всех сил пытался помешать нам провести трансляцию главного события сегодняшнего дня – Парада Победы и праздничного салюта». На восстановление сервиса ушло несколько дней.
2025. Кибератака на авиакомпанию «Аэрофлот» случилась 28 июля. В работе информационных систем произошел сбой, что привело к отмене ста с лишним рейсов. Однако уже на следующий день полеты возобновились, а Роскомнадзор не выявил утечек персональных данных. По информации Генпрокуратуры РФ, причиной сбоя стала хакерская атака, возбуждено уголовное дело о неправомерном доступе к компьютерной информации. Ответственность за нападение взяли на себя антироссийские хакерские группировки Silent Crow и «Киберпартизаны BY».
…и в мире
2011. Взломана RSA – крупнейшая американская компания, которая занимается компьютерной и сетевой безопасностью. Атака началась с электронного письма на адрес простого сотрудника с темой «План набора персонала на 2011 год». Открыв письмо, работник запустил в систему вредоносный вирус. Так хакеры завладели ключами, которые дают доступ в базы данных клиентов RSA - военных ведомств, служб безопасности. Ущерб трудно оценить - это потеря секретной информации. Англоязычные ресурсы утверждают, что это «рука Пекина».
2020. Взлом компании Garmin, мирового производителя GPS-навигационной техники и «умных» часов. Вторжение осуществили с использованием программы-вымогателя WastedLocker.
- Атака нарушила работу сервисов Garmin по всему миру, включая авианавигационные системы, что сказалось на безопасности полетов, - рассказал Алексей Рубаков. - Чтобы возобновить работу, компании пришлось заплатить выкуп, сумма которого не раскрывалась, но неофициально оценивается в несколько миллионов долларов.
В том же 2020 году хакеры атаковали компанию SolarWinds - встроили вредоносный прямо в обновление программы Orion, которую использовали десятки тысяч компаний и госструктур. Пользователи устанавливали обновление, а с ним и вирус, который открывал хакерам доступ в Минобороны США и другие госструктуры и крупные компании не только в США. Несколько месяцев злоумышленники читали почту, копировали документы. Юмор ситуации в том, что SolarWinds — разработчик систем кибербезопасности. Кто стоял за этой атакой, остается тайной.
2021. Хакеры взломали крупнейшую нефтетранспортную систему США Colonial Pipeline, введя в нее вирус-вымогатель.
- Управление потоками топлива осуществляется через промышленную автоматизированную систему SCADA, - пояснила Анна Овсянникова. - Она контролирует открытие клапанов, давление, объемы, маршруты от хранилища к бензоколонкам. Когда хакеры заблокировали доступ к SCADA, система «ослепла». Компании пришлось заплатить выкуп 4,4 миллиона долларов в биткойнах.
2025. В феврале взломали Bybit - одну из крупнейших мировых криптобирж. Хакеры получили доступ к электронному кошельку биржи, с которого украли 499 монет Ethereum (вторая по популярности криптовалюта после биткоина). По курсу на тот момент это $1,46 млрд. Деньги клиентов биржи не пострадали. ФБР США подозревает во взломе известную северокорейскую хакерскую группу Lazarus.
СЛУШАЙТЕ ТАКЖЕ