Эксперты рассказали о причинах кибератак на ритейлеров

За последние несколько недель множество российских компаний подверглись хакерским атакам. 14 июля сбой был у сети алкогольных магазинов «Винлаб», из-за которой работа магазинов была парализована. Затем хакеры атаковали «Аэрофлот», спровоцировав отмену рейсов. 29 июля о кибератаке заявили аптечные сети «Столички» и «Неофарм» (обе относятся к ООО «Нео-фарм») и клиника «Семейный доктор» (входит в «Медицину Альфастрахование»). Затем 30 июля были сбои в работе «Вкусвилла», «Самоката» и сети дискаунтеров «Доброцен».

Shopper’s опросил экспертов, почему злоумышленники выбирают жертвами ритейлеров и аптечные сети, чего хотят добиться, как долго может продлиться восстановление работы и какие убытки несут компании.

Руководитель департамента расследований T.Hunter Игорь Бедеров

«Ритейл (особенно алкогольный сегмент, как «Винлаб») и аптеки («Столички», «Неофарм») обрабатывают огромные объемы платежей и персональных данных. Их IT-системы часто централизованы, недостаточно сегментированы и используют устаревшие компоненты, что упрощает атаки. Например, у «Винлаба» хакеры парализовали всю сеть, включая отгрузки товаров, через компрометацию backend-систем. Кроме этого, атаки на социально-значимые объекты (аптеки, клиники) вызывают общественный резонанс. Именно это привлекает хактивистов, стремящихся к шантажу или политическому заявлению. Наконец, в ритейле и аптеках хранятся не только финансовые данные, но и высокоценные медицинские истории (например, в «Семейном докторе» база пациентов могла быть уничтожена). Это позволяет преступникам требовать выкуп за расшифровку данных и угрожать утечкой.

За первое полугодие 2025 г. количество атак на российские компании выросло на 27%. Бизнес активно внедряет цифровые сервисы (онлайн-заказы, системы лояльности), но инвестиции в информационную безпасность отстают.

Сказываются внешнеполитическая обстановка, условия кибервойны против нашей страны и рост числа хакерских групп, каждая из которых хочет заработать. Своеобразным бустером стало и введение оборотных штрафов в России: теперь у компаний появился реальный стимул договариваться с хакерами, даже с учетом того, что это может привести к обвинению в госизмене или финансированию терроризма.

Скорость [восстановления после хакерских атак] зависит от масштаба повреждений и готовности компаний, особенно резервного копирования данных. Если атака блокирует отдельные сервисы — например, сбой онлайн-оплаты, то речь идет о часах на восстановление. При разрушении ядра IT-инфраструктуры восстановление возможно за 7—14 дней, но может затянуться и до месяца.

Цели киберпреступников в 80% атак на ритейл — ransomware (шифрование данных с требованием выкупа). Далее идет перепродажа похищенной информации. Базы клиентов аптек и медцентров ценятся на черном рынке из-за истории покупок и диагнозов. Наконец, саботаж. Хакерские группировки вроде Silent Crow заявляют о атаках как о «стратегическом ущербе» для экономики России. Их цель — парализовать цепочки поставок российских организаций.

Считается, что «Аэрофлот» терял более 250 млн руб. в день из-за отмены рейсов. Аптечные сети — десятки миллионов рублей в сутки при закрытии точек, а «Винлаб» рискует потерять 1,5 млрд руб. за две недели простоя. Кроме того, следует учитывать еще штрафы за утечки данных, а также необходимость восстановления и улучшения систем инфраструктуры — в зависимости от размеров компании — от 500 млн руб. до 2 млрд руб.».

Руководитель направления развития бизнеса в вендоре программного обеспечения «Индид» Игорь Тюкачев

«Жертвами атак становятся предприятия из самых разных отраслей: банковских организаций, IT- и телеком-компаний, ритейла, транспорта и т. д. Если говорить про крупные розничные и аптечные сети, то здесь, скорее всего, злоумышленники преследуют сразу несколько целей. Одна из них — хищение конфиденциальной «чувствительной» информации. Например, персональных данных клиентов для последующей ее продажи на теневых рынках. Или шифрование критичных данных с целью получения выкупа от компании за их расшифровку.

Другая причина атак — остановка бизнес-процессов крупных предприятий, так как их инфраструктура обеспечивает непрерывность важных услуг для потребителей. Любой сбой здесь мгновенно затрагивает тысячи пользователей. Вывод из строя корпоративных систем для этих сфер весьма критичен и грозит колоссальными убытками, как финансовыми, так и репутационными. Подобные атаки могут совершаться с целью публичного резонанса. Когда из-за атаки останавливается бизнес ритейлера, банка или авиакомпании, это сразу становится заметно, что создает дополнительную публичность и хакерским группировкам, атакующим эти предприятия. Поэтому при прочих равных они будут атаковать такие компании, про которые точно будут писать в СМИ.

Исходя из этого, самая верная стратегия защиты для компаний — превентивная. Нужно фокусироваться не только на атаках извне, но и принимать во внимание, что злоумышленник может уже находиться внутри инфраструктуры и просто оставаться незамеченным. И, отталкиваясь от этой стратегии, планировать меры защиты, противодействия и готовиться к восстановлению.

За последние несколько лет количество хакерских атак на российские компании в целом заметно выросло. При этом традиционно злоумышленники эксплуатируют сезонные факторы. На текущий момент основными мишенями становятся организации, наиболее востребованные в сезон отпусков, что мы можем наблюдать на примерах последних атак. В такие моменты люди чаще совершают различные операции, связанные с планированием поездок и отдыха: бронирование туров, авиаперелеты, покупка товаров для отпуска, обмен валюты. В периоды повышенного спроса атаки на предприятия, реализующие подобные услуги, приносят злоумышленникам больший доход и позволяют легче добиться конечной цели, чем атаки на другие сектора экономики — например, на промышленность или государственный сектор. 

Восстановление инфраструктуры — это долгий и очень дорогостоящий процесс, сравнимый по затратам с потерями от простоя бизнеса. Если говорить про ритейл, то опыт российских и иностранных компаний показывает, что среднее время восстановления ключевых информационных систем — одна неделя. Это время требуется, чтобы запустить основные бизнес-процессы: продажу клиентам товаров и их пополнение в магазинах. Восстановление инфраструктуры и данных полностью может занять от месяца до полугода. Для каждой компании этот срок индивидуальный и зависит от множества факторов.

Для торговой компании каждый день и даже час простоя бизнеса влечет недополученную финансовую прибыль. Кроме этого, нужно учитывать и затраты на восстановление инфраструктуры после атак, которые могут быть сопоставимы с потерями от остановки бизнес-процессов. Также стоит принимать во внимание и репутационные риски для предприятий, которые может повлечь за собой совершенная кибератака».

Бизнес-консультант по информационной безопасности компании Positive Technologies Алексей Лукацкий

«Кибератаки не только будут продолжаться, но и усиливаться, и связано это с текущей геополитикой. Пока мы не видим серьезных каскадных сбоев, когда атака в одной организации привела бы к ним в других сферах. Сейчас атаки проводятся против точечных компаний и носят скорее локальный эффект для пользователей.

Также нет и массовых масштабных атак. Но если это произойдет — а я не исключаю такой возможности — мы получим гораздо более серьезные последствия от действий хакеров.

В целом вся ситуация с кибератаками — это хороший сигнал для компаний выстраивать свою инфраструктуру более надежным, более безопасным способом, так как кибербезопасность становится полноценным конкурентным преимуществом в современном обществе».