Миллионные убытки: почему от хакеров страдают даже компании-гиганты и как защитить свой бизнес от кибератак

Кейс «Аэрофлота»

Что случилось

28 июля 2025 года украинско-белорусское объединение Silent Crow и Belarus Cyber-Partisans заявили об успешной масштабной кибератаке на «Аэрофлот». Хакеры сообщают, что проникновение длилось около года до активации финальной фазы атаки. В результате были отменены более 100 рейсов, вызваны серьезные сбои в бронировании, оказались недоступны сайт, call-центр и терминалы.

Ущерб инфраструктуре включал уничтожение около 7 тыс. серверов и эксфильтрацию до 22 ТБ данных, включая персональные данные пассажиров, внутреннюю переписку, аудио и видео с систем наблюдения.

Техническая схема атаки

Предположительно, компрометация инфраструктуры «Аэрофлота» началась с фишинговых кампаний и социальной инженерии с возможной эксплуатацией уязвимостей VPN и RDP (протокол удаленного рабочего стола). Проникновение осуществлялось в течение нескольких месяцев.

Одной из причин успешности входа эксперты называют отсутствие многофакторной аутентификации, сегментации внутренней сети, использование устаревших ОС (XP, Server 2003), хранение паролей в незашифрованных файлах и отсутствие контроля доступа.

После получения доступа злоумышленники расширили привилегии и захватили ключевые компоненты уровня Tier‑0: доменные контроллеры, гипервизоры VMware ESXi, AD, DLP, Exchange, Sabre, SharePoint, 1С и другие внутренние системы авиаперевозчика.

Поддерживался устойчивый доступ в течение примерно года, параллельно велась установка бэкдоров, сбор информации и несанкционированное извлечение данных. По оценкам, хакеры получили доступ к 20–22 ТБ данных, включая PII (персональная идентифицирующая информация) и служебную переписку.

На текущий момент нет сообщений об утечках этих данных в открытый доступ. Но при этом остается вероятность, что какие-то данные из внутренних систем «Аэрофлота» утекут в сеть.

Технические проблемы, которые мы выявили в ходе изучения информации об атаке, и предположительные пути их решения.

• Отсутствие многофакторной аутентификации и рабочих станций с привилегированным доступом. Чтобы исключить возможную компрометацию привилегированных учетных записей пользователей, нужно в обязательном порядке внедрять эти инструменты.

• Нет сегментации сети. Если все-таки злоумышленники попали в сеть компании, нужно максимально ограничить для них возможность латерального перемещения — продвижения по сети от точки входа (например скомпрометированного устройства или аккаунта) к другим объектам. Для этого нужно делить внутреннюю сеть на сегменты и создавать демилитаризованные зоны — выделенные сегменты сети, предназначенные для размещения общедоступных сервисов (например, почтовых серверов). Так злоумышленники не смогут пройти дальше выделенного сегмента.

• Устаревшее ПО: судя по сообщениям экспертов, у «Аэрофлота» в ходу были устаревшие операционные системы, такие как Windows XP и Windows Server 2003, официальная поддержка которых была прекращена более 10 лет назад. Решением здесь будет миграция на более современные системы.

• Отсутствие систем мониторинга и реагирования на угрозы: если доверять сообщениям хакеров, а также словам сотрудников компании, то проникнуть в системы «Аэрофлота» им удалось достаточно давно. Отсюда можно сделать предположение, что внутри отсутствовали системы безопасности, которые могли бы помочь обнаружить угрозы или хотя бы зафиксировать их.

• Отсутствие практики DRP: невозможно свести риски кибератаки к абсолютному нулю, но к этому надо стремиться. Если все-таки случилось, что злоумышленники успели нанести информационной системе урон, то на этот случай должен быть план восстановления (Disaster Recovery Plan). Практика «Аэрофлота» показала, что они довольно оперативно смогли восстановить работоспособность компании.

• Игнорирование киберучений: периодически нужно проверять свою систему на предмет взлома. Для этого обычно проводятся киберучения, на которые привлекают Red Team — группу экспертов, которые имитируют действия злоумышленников и по итогам готовят отчет об уязвимостях.

Кейс 12Storeez

Что случилось

В июне 2025 года российский fashion-бренд 12Storeez столкнулся с масштабной кибератакой. В результате сбоя в работе ERP 1С, POS-систем и логистики была остановлена работа розничной сети.

По оценкам, убытки составили около 48 млн руб. Причиной послужила вирусная атака, которая задела системы резервного копирования, что сделало невозможным быстрое восстановление.

Время реагирования на инцидент составило 40 минут — после первого сообщения о начале взлома команда отключила внешний доступ к IT-системам, чтобы защитить от шифрования системы, до которых вирус не успел добраться. 12Storeez сообщает, что злоумышленники не успели добраться до персональных данных клиентов и 99% важных данных удалось восстановить.

Техническая схема атаки

Злоумышленники получили доступ к ERP-системе 1С через уязвимые точки входа: системы удаленных рабочих столов и VPN, которые не были защищены двухфакторной аутентификацией. Представители 12Storeez в своем публичном заявлении в Instagram* сообщают, что уязвимым местом стали системы, доступные партнерам.

После проникновения в систему вирус распространился по внутренней сети, зашифровал и частично удалил критически важные данные, в том числе, как заявили представители компании, были повреждены 30% резервных копий. Также пострадали файлы ERP, POS, логистических систем и серверов резервного копирования.

Все это привело к массовым сбоям оборудования.

Технические проблемы и предположительные пути их решения

Отдельно отмечу момент, как бренд отреагировал на ситуацию со взломом, — в подробностях рассказали своим подписчикам о ситуации и о том, какие инструменты кибербеза они уже внедрили. Один из редких примеров качественной коммуникации со своей аудиторией. Но при этом считаю важным подсветить проблемы и перечислить пути решения.

• Отсутствие двухфакторной аутентификации (2FA): именно этот элемент системы послужил точкой входа, о чем компания сама рассказала в своих каналах. Поэтому, если в вашей IT-системе есть такой элемент, как ERP и CRM, тем более к которому есть доступ для внешних пользователей, обязательно нужно настраивать двухфакторную аутентификацию.

• Проблемы с системами мониторинга и реагирования на проникновения. С одной стороны, 12Storeez сообщают, что внедрили технологию EDR только после взлома, с другой — у них была установлена система мониторинга, которая и сообщила о взломе злоумышленниками. Поэтому здесь рекомендую поддерживать системы мониторинга в актуальном состоянии, чтобы в случае атаки они могли не только зафиксировать факт несанкционированной активности, но и пресечь ее автоматически.

• Отсутствие сегментации сети и контроля резервных копий. Если ситуацию с сегментацией сети я описал выше в кейсе «Аэрофлота», то совет с контролем бэкапов будет «не храните все яйца в одной корзине» и поддерживайте копии в актуальном состоянии.

• Не введены правила цифровой гигиены для сотрудников. Не стоит забывать и о человеческом факторе, поэтому периодически нужно организовывать тренинги по безопасности и фишинг-симуляции.

Кейс WineLab

Что случилось

4 июля 2025 года Novabev (бренд WineLab) подверглась одной из крупнейших атак программ-вымогателей в российской рознице. Были закрыты более 2 тыс. магазинов по всей стране.

Компания официально отказалась от выплаты выкупа. Утечек персональных данных клиентов или сотрудников не зафиксировано, однако ущерб инфраструктуре и бизнесу оказался колоссальным — финансовые убытки компании оцениваются в сотни миллионов рублей из-за остановки розничных операций.

Техническая схема атаки

Атака, предположительно, началась через фишинговые письма сотрудникам или компрометацию подрядчиков с доступом к внутренним системам.

Внутренняя инфраструктура страдала от слабой сетевой сегментации, отсутствия защиты POS-терминалов, а также неэффективной DLP-системы. Это позволило атакующим быстро распространить вредоносный код по всей сети.

Были зашифрованы ключевые элементы IT-инфраструктуры: POS-системы, ERP, логистика, e-commerce. Магазины потеряли возможность проводить трансакции, прием и отгрузку товаров.

Safe. CNews отметили, что злоумышленники действовали через множественные точки проникновения, что указывает на высокий уровень подготовки и детальный аудит инфраструктуры до атаки.

Технические проблемы и предположительные пути их решения

• Несегментированная внутренняя среда: судя по информации из открытых источников, можно сделать вывод, что у WineLab отсутствовала сегментация POS-терминалов и ERP, поэтому злоумышленники смогли быстро зашифровать их и приостановить работу систем. Логичным решением видится внедрение архитектуры Zero Trust и сегментация, которая позволит ограничить перемещение вредоносных объектов, а также снижает последствия компрометации.

• Отсутствие централизованной защиты. Судя по тому, что хакеры смогли зашифровать внушительный объем систем компании, на будущее рекомендую внедрить практики автоматического мониторинга и реакции на инциденты.

• Уязвимость конфигураций бэкапов. Если атака все-таки случилась, то нужны инструменты для оперативного восстановления работоспособности систем из резервных копий конфигураций ключевых систем.