Эксперты рассказали о причинах кибератак на ритейлеров

За последние несколько недель множество российских компаний подверглись хакерским атакам. 14 июля сбой был у сети алкогольных магазинов «Винлаб», из-за которой работа магазинов была парализована. Затем хакеры атаковали «Аэрофлот», спровоцировав отмену рейсов. 29 июля о кибератаке заявили аптечные сети «Столички» и «Неофарм» (обе относятся к ООО «Нео-фарм») и клиника «Семейный доктор» (входит в «Медицину Альфастрахование»). Затем 30 июля были сбои в работе «Вкусвилла», «Самоката» и сети дискаунтеров «Доброцен».

Shopper’s опросил экспертов, почему злоумышленники выбирают жертвами ритейлеров и аптечные сети, чего хотят добиться, как долго может продлиться восстановление работы и какие убытки несут компании.

Руководитель департамента расследований T.Hunter Игорь Бедеров:

«Ритейл (особенно алкогольный сегмент, как «Винлаб») и аптеки («Столички», «Неофарм») обрабатывают огромные объемы платежей и персональных данных. Их IT-системы часто централизованы, недостаточно сегментированы и используют устаревшие компоненты, что упрощает атаки. Например, у «Винлаба» хакеры парализовали всю сеть, включая отгрузки товаров, через компрометацию backend-систем. Кроме этого, атаки на социально-значимые объекты (аптеки, клиники) вызывают общественный резонанс. Именно это привлекает хактивистов, стремящихся к шантажу или политическому заявлению. Наконец, в ритейле и аптеках хранятся не только финансовые данные, но и высокоценные медицинские истории (например, в «Семейном докторе» база пациентов могла быть уничтожена). Это позволяет преступникам требовать выкуп за расшифровку данных и угрожать утечкой.

За первое полугодие 2025 г. количество атак на российские компании выросло на 27%. Бизнес активно внедряет цифровые сервисы (онлайн-заказы, системы лояльности), но инвестиции в информационную безпасность отстают.

Сказываются внешнеполитическая обстановка, условия кибервойны против нашей страны и рост числа хакерских групп, каждая из которых хочет заработать. Своеобразным бустером стало и введение оборотных штрафов в России: теперь у компаний появился реальный стимул договариваться с хакерами, даже с учетом того, что это может привести к обвинению в госизмене или финансированию терроризма.

Скорость [восстановления после хакерских атак] зависит от масштаба повреждений и готовности компаний, особенно резервного копирования данных. Если атака блокирует отдельные сервисы — например, сбой онлайн-оплаты, то речь идет о часах на восстановление. При разрушении ядра IT-инфраструктуры восстановление возможно за 7—14 дней, но может затянуться и до месяца.

Цели киберпреступников в 80% атак на ритейл — ransomware (шифрование данных с требованием выкупа). Далее идет перепродажа похищенной информации. Базы клиентов аптек и медцентров ценятся на черном рынке из-за истории покупок и диагнозов. Наконец, саботаж. Хакерские группировки вроде Silent Crow заявляют о атаках как о «стратегическом ущербе» для экономики России. Их цель — парализовать цепочки поставок российских организаций.

Считается, что «Аэрофлот» терял более 250 млн руб. в день из-за отмены рейсов. Аптечные сети — десятки миллионов рублей в сутки при закрытии точек, а «Винлаб» рискует потерять 1,5 млрд руб. за две недели простоя. Кроме того, следует учитывать еще штрафы за утечки данных, а также необходимость восстановления и улучшения систем инфраструктуры — в зависимости от размеров компании — от 500 млн руб. до 2 млрд руб.».

Читать статью в полной версии «Shopper’s»