ТЭК не надо: хакеры стали чаще шантажировать промышленников
Кибератаки на промышленные объекты участились в два раза, выяснили «Известия». Если раньше главной целью большинства хакеров был шпионаж, то теперь они стремятся получить прибыль — за счет вымогательства и продажи инструментов для взлома. Их можно приобрести всего за $500, а одна удачная атака способна принести десятки миллионов рублей. О том, какие отрасли находятся в зоне повышенного риска и сколько предприятия могут потерять в результате атаки, — в материале «Известий».
Как атакуют хакеры
Хакеры усилили давление на промышленный сектор, рассказали «Известиям» в компаниях по кибербезопасности. При этом они сменили основной мотив: вместо сбора данных всё чаще выбирают атаки ради заработка. В 2025 году доля таких инцидентов составляла 5–6%, а в первом полугодии 2026-го выросла вдвое — до 11%, сообщили эксперты BI.ZONE Threat Intelligence.
Так, в мае и июне 2026-го промышленные предприятия подверглись серии атак со стороны финансово мотивированной группировки Clubfoot Wolf. Они маскировали свои письма под коммерческие предложения или счета. В теме злоумышленники добавляли приписку Fwd: («переслано»), чтобы люди думали, будто уже общались с отправителем, и открывали вложения.
— В прикрепленном к письму ZIP-архиве находились отвлекающие файлы, а также программное обеспечение для удаленного администрирования, — отметил руководитель BI.ZONE Threat Intelligence Олег Скулкин. — Это позволяло злоумышленникам удаленно управлять компьютером жертвы и одновременно оставаться незамеченными для защитных систем. А чтобы затруднить анализ и выявление конечных URL-адресов, группировка использовала сервисы сокращения ссылок.
Чаще всего хакеры выбирали мишенями небольшие организации химической промышленности.
По данным BI.ZONE DFIR, группировка Feral Wolf атаковала одну из промышленных компаний. Хакеры получили доступ к ее системе из-за неправильной настройки сервера и оставались внутри сети в течение 20 дней.
В тот же период другая группировка — Stray Hyena — взломала еще одно предприятие: сначала — компанию-подрядчика, а через два дня после проникновения зашифровали инфраструктуру основной жертвы.
«В случае с атаками на компании средних размеров сумма выкупа может составлять 15–30 млн рублей, но иногда доходит до 100–200 млн рублей, — указали эксперты. — Реже злоумышленники запрашивают еще более крупные суммы».
О растущем интересе киберпреступников к российской промышленности также свидетельствует продажа специальных инструментов для взлома, подчеркнул Олег Скулкин. Так, в июне группировка Wrecking Hyena через свой Telegram-канал продавала за $500 обновленную платформу для атак на промышленную инфраструктуру. Она включает полный набор инструментов — от поиска уязвимостей и разведки до кражи и хранения данных. Кроме того, платформа позволяет анализировать защищенность систем, использовать уязвимости промышленных протоколов, проводить DDoS-атаки и получать несанкционированный удаленный доступ.
— Члены Wrecking Hyena изначально позиционировали себя как хактивисты: они заявляли, что действуют исключительно по идеологическим мотивам, а не ради финансовой выгоды, — отметил эксперт.
Во сколько обходятся атаки предприятиям
Сегодня в зоне риска находятся практически все промышленные компании, использующие цифровые сервисы, — машиностроительные, металлургические, химические, пищевые и фармацевтические, рассказал «Известиям» начальник отдела информационной безопасности NGENIX Дмитрий Смирнов.
При этом наиболее интенсивным атакам подвергаются объекты топливно-энергетического комплекса, от стабильной работы которых зависят многие другие отрасли экономики, отметил цифровой юрист, зампредседателя Совета по интеллектуальной собственности ТПП РФ, Евразийский и российский патентный поверенный Борис Герасин.
— В этих сферах очень дорогой простой, — сказал эксперт. — Каждый день внепланового ремонта лишает НПЗ миллионов рублей, ведет к срыву ранее достигнутых договоренностей, к невыполнению планов, что чревато санкциями со стороны контрагентов.
Проджект-менеджер ГК Softline (MD Audit) Кирилл Левкин добавил, что отдельная категория — это логистические хабы и склады с высокой степенью автоматизации, где сбой блокирует цепочки поставок.
— Всё чаще атакуют пищевую промышленность, фармацевтику, агросектор. Их интересуют не столько данные, сколько возможность парализовать производство, ведь такие предприятия не могут позволить себе длительный простой: продукция портится, процессы нельзя поставить на паузу, — пояснил он.
Для злоумышленников важнее не отрасль, а стоимость простоя бизнеса, согласился Дмитрий Смирнов.
— Чем дороже остановка производства, тем привлекательнее цель, — считает эксперт. — Всё чаще потенциальной точкой входа становятся публичные цифровые сервисы компаний: корпоративные порталы, личные кабинеты партнеров, VPN, API и другие веб-ресурсы. Их компрометация может стать первым этапом более масштабной атаки.
Даже развитая IT-инфраструктура с современной системой киберзащиты не гарантирует полной безопасности, отметил Борис Герасин.
— Злоумышленники часто работают не в лоб, а исподволь, через менее защищенные системы контрагентов, стараясь через них взломать контур целевой инфраструктуры, — рассказал он.
Ущерб сильно варьируется и складывается из двух частей: выплат злоумышленникам и косвенных потерь, добавил Кирилл Левкин.
Основные затраты связаны с простоем производства, восстановлением информационных систем, техническим аудитом, заменой скомпрометированного программного обеспечения, расследованием инцидента и выполнением требований регуляторов, рассказала управляющий партнер агентства «ВМТ Консалт» Екатерина Косарева.
Эксперты рекомендуют компаниям из наиболее уязвимых отраслей разделять корпоративный и технологический контуры. Тогда, если один из сегментов окажется заражен, проблему можно будет локализовать и не допустить распространения атаки на всю инфраструктуру.
