СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
Вчера в 09:11
#ИБ

Хакеры в атаках против России больше не требуют выкуп, они просто уничтожают все найденные данные

Хакеры в атаках против России больше не требуют выкуп, они просто уничтожают все найденные данные

Изображение: grok

Атаки на российские компании и госструктуры становятся более разрушительными. По данным «Известий», проукраинские хакеры активно применяют тактику полного уничтожения данных вместо взломов ради публичного эффекта, вымогательства или демонстрации доступа. Эксперты считают, что акцент смещается на максимальный ущерб для организаций, остановке процессов и долгим последствиям для бизнеса и государственных систем.

Для рынка ИБ это тревожный поворот. Раньше многие атаки строились вокруг DDoS, дефейсов, утечек или ransomware с требованием выкупа. Теперь активнее проявляются атаки без расчёта на восстановление данных. Шифрование применяется не для заработка, а как инструмент разрушения. Вайперы идут дальше и стирают информацию без возможности вернуть систему к прежнему состоянию.

По данным Solar 4RAYS, в 2025 году было зафиксировано 9,3 млн случаев заражения российских компаний вредоносным ПО. Подобные инциденты затронули 38,5 тыс. организаций. Масштаб показывает выход вредоносной активности бизнеса и госструктур за рамки отдельных показательных атак.

Интересно, что 76% критических кибератак в 2025 году были нацелены на уничтожение инфраструктуры, а не на кражу данных или выкуп.

В стратегическом обзоре киберугроз от «Инфосистемы Джет» говорится о нацеленности 76% критических кибератак в 2025 году на уничтожение инфраструктуры. Целью атакующих становится не кража отдельных файлов, а нарушение работы всей организации. Среди угроз с нарушением работы бизнеса лидировали несколько типов вредоносного ПО:

  • вирусы-шифровальщики с долей 44%;
  • вайперы с долей 32%;
  • комбинированные разрушительные инструменты;
  • бэкдоры с функцией уничтожения;
  • скрипты с очисткой логов и данных.

Национальный координационный центр по компьютерным инцидентам также подтверждает распространение атак на безвозвратное разрушение информационных ресурсов. В основном применяется шифрование данных вредоносными программами без возможности восстановления.

Технически атака выглядит знакомо. Вредоносная программа шифрует пользовательские файлы, меняет их имена и добавляет особое расширение. Раньше подобная модель чаще использовалась для вымогательства. По словам заместителя директора НКЦКИ Петра Белова, хакеры теперь могут вообще не требовать деньги.

Пётр Белов указывает на превращение шифрования в способ полного уничтожения информации. Ransomware по внешним признакам остаётся похожим на прежний тип атаки, а смысл меняется. Без требования выкупа и намерения отдавать ключ шифрование становится аналогом вайпера.

Вайперы набирают популярность из-за отсутствия пространства для переговоров с жертвой. Подобное вредоносное ПО не рассчитано на восстановление данных. Задача вайпера сводится к выводу системы из строя, уничтожению файлов и для восстановления инфраструктуры почти с нуля.

Мотивы подобных атак различаются и могут охватывать несколько направлений:

  • цифровой вандализм против известных компаний;
  • саботаж конкретных производственных процессов;
  • сокрытие следов глубокого проникновения;
  • остановка ключевых бизнес-процессов;
  • психологическое давление на руководство;
  • нанесение прямого экономического ущерба.

Руководитель группы анализа вредоносного ПО центра исследования киберугроз Solar 4RAYS ГК «Солар» Станислав Пыжов считает применение подобного ПО инструментом создания общественного резонанса, давления и экономического ущерба. Эксперт по реагированию на инциденты Angara MTDR Ян Блинов отмечает уход шумного хактивизма 2022 года на задний план. По словам Яна Блинова, демонстративный эффект уступает место целенаправленному нанесению максимального ущерба конкретным российским организациям.

Подобный сдвиг меняет требования к защите. Компании больше не могут считать резервное копирование второстепенной процедурой. Резервные копии нуждаются в нескольких защитных контурах:

  • изоляция бэкапов от основной сети;
  • регулярная проверка восстановления данных;
  • отдельная защита систем хранения;
  • разделение прав доступа к копиям;
  • независимость от доменной среды.

Интересно, что вайперы не оставляют жертве шанса на переговоры, и компания после такой атаки восстанавливает инфраструктуру почти с нуля.

Особенно опасны подобные атаки для организаций с сильным влиянием простоя на людей и процессы. Промышленность, транспорт, энергетика, связь, госсектор, медицина, финансы и логистика теряют не только данные одной компании, но и работу цепочек поставок.

Ранее сообщалось о превращении объектов критической информационной инфраструктуры в главную цель хакеров в 1 квартале 2026 года. По данным RED Security SOC, на отрасли КИИ пришлось более 9000 атак или 77% всех инцидентов против российских компаний. Высококритичные инциденты достигли 27%.

Фокус на КИИ хорошо сочетается с ростом разрушительных атак. Для злоумышленников наиболее ценной целью становятся системы со способностью остановить производственные, государственные или социально значимые процессы.

Похожую логику демонстрируют атаки на геоинформационные данные. Ранее «Лаборатория Касперского» сообщала об атаках группы HeartlessSoul на российские организации с интересом к данным о дорогах, инженерных сетях и объектах. Злоумышленники применяли фишинговые письма, поддельные сайты и троянское ПО.

Для защитных команд главный вызов кроется в позднем обнаружении уничтожения данных. До атаки злоумышленник может неделями находиться внутри сети, изучать инфраструктуру, искать резервные копии, получать привилегии и готовить одновременный запуск вредоносного ПО.

Защита должна строиться вокруг раннего обнаружения с целым набором инструментов:

  • мониторинг аномалий в сетевом трафике;
  • контроль привилегированных учётных записей;
  • сегментация сети и изоляция критичных систем;
  • защита администраторских доступов;
  • проверка бокового перемещения внутри инфраструктуры;
  • регулярные учения по восстановлению.

Эксперты редакции CISOCLUB отмечают, что переход атакующих к уничтожению данных требует пересмотра самой модели готовности российского бизнеса к инцидентам. По мнению редакции, вопрос уже не сводится к недопущению взлома, а к выживанию организации после разрушения части инфраструктуры.

Вайперы и шифровальщики без выкупа превращают кибератаку в проверку выживаемости всей компании, а не только её ИБ-службы. Главным активом теперь становятся не средства защиты на периметре, а способность поднять основные процессы из изолированных и защищённых резервных копий за разумное время.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: