Проукраинские хакеры всё чаще стремятся полностью уничтожить данные во время атак на российские компании и госструктуры. От демонстративного эффекта для привлечения внимания они перешли к целенаправленному нанесению максимального ущерба. Это говорит о том, что характер кибервойны, ведущейся против России, изменился — она стала более системной, изощренной и разрушительной, считают эксперты. Чем опасны атаки, направленные на уничтожение данных, и как от них защититься — в материале «Известий».

В 2025 году, по данным Solar 4RAYS, было зафиксировано 9,3 млн случаев заражения российских компаний вредоносным программным обеспечением (ВПО). Такие инциденты затронули 38,5 тыс. организаций.

В минувшем году на уничтожение инфраструктуры были направлены сразу 76% критических кибератак, отмечается в стратегическом обзоре киберугроз, представленном «Инфосистемы Джет». На фоне роста устойчивости компаний к DDoS-атакам и «обесценивания» дефейсов (взломов, предусматривающих замену содержимого веб-сайтов) хакеры перешли к тактике «выжженной земли»: лидерами среди киберугроз, послуживших причиной нарушения работы бизнеса, стали вирусы-шифровальщики (44%) и вайперы (32%), полностью уничтожающие данные.

Атаки, нацеленные на безвозвратное разрушение информационных ресурсов, стали всё более распространенными, подтвердили в Национальном координационном центре по компьютерным инцидентам (НКЦКИ). В основном речь идет о шифровании данных с помощью ВПО, которые потом невозможно восстановить.

Суть атаки заключается в том, что с помощью специальных вредоносных программ злоумышленник шифрует пользовательские файлы и переименовывает их, добавляя специфическое расширение. Без дешифратора восстановить данные оказывается невозможно. Раньше преступники пользовались этим для цифрового вымогательства — за передачу специального ключа, позволяющего восстановить доступ к данным, у жертвы требовали выкуп.

Теперь же, как утверждает заместитель директора НКЦКИ Петр Белов, хакеры, шифрующие данные, не просят денег за их восстановление. По сути, речь идет о полном уничтожении информации с помощью шифрования.

На фоне этого тренда популярность начали набирать вайперы — атака с использованием такого ВПО не предусматривает возможности восстановления данных, вся система выходит из строя.

Мотивы для полного уничтожения данных в результате кибератаки могут быть разными. Это и цифровой вандализм, и саботаж, и сокрытие следов проникновения в систему, и остановка бизнес-процессов. В условиях ведущейся против России кибервойны такое ВПО используется, чтобы создать общественный резонанс и психологическое давление, а также нанести экономический ущерб, считает руководитель группы анализа ВПО центра исследования киберугроз Solar 4RAYS ГК «Солар» Станислав Пыжов. При этом шумный хактивизм, который был особенно заметен в 2022 году, уже не выходит на передний план, отмечает эксперт по реагированию на инциденты Angara MTDR Ян Блинов. Акцент с демонстративного эффекта сместился в сторону целенаправленного нанесения максимального ущерба конкретным российским организациям с упором на нарушение процессов, потерю данных, остановку сервисов и долгосрочные последствия для бизнеса и госструктур.

Это, по мнению собеседника редакции, говорит о том, что характер кибервойны против РФ в последнее время изменился — она стала более системной, изощренной и разрушительной, а цели, масштабы и методы со временем заметно усложнились.

По данным портала киберразведки Kaspersky Threat Intelligence Portal, сейчас действуют более 100 уникальных хакерских группировок, нацеленных на российские организации. В основном это APT-группировки (высококвалифицированные хакерские команды, осуществляющие длительные, скрытые и целенаправленные атаки) и хактивисты.

Установить конкретную государственную принадлежность атакующих, как правило, крайне сложно. Злоумышленники используют анонимизирующую инфраструктуру и чужие серверы, намеренно запутывая следы, указывает Станислав Пыжов. Нередко деструктивные атаки осуществляются хактивистскими группировками с распределенным составом участников.

Однако в текущей обстановке для России наиболее заметны атаки со стороны проукраинских и антиросийски настроенных хактивистких групп, а также связанных с ними киберпреступных объединений. Среди таких группировок Ян Блинов выделяет Bearlyfy (Laboo.boo), действующую с начала 2025 года, BO Team, которую некоторые исследователи связывают с главным управлением разведки министерства обороны Украины, а также проукраинскую 4B1D.

В числе заметных группировок также можно назвать Shedding Zmiy, Lifting Zmiy, Partisan Zmiy (обозначение Zmiy используется при описании групп, предположительно, действующих из Восточно-Европейского региона), дополняет Пыжов. Это проукраинские объединения, деятельность которых носит выраженный политический характер.

Активность проукраинских группировок, сместившаяся в сторону безвозвратного уничтожения данных, говорит о новом витке кибервойны, развернувшейся с 2022 года. Подобные атаки представляют собой одну из наиболее опасных угроз для бизнеса и государственных структур, потому что приводят к критическим финансовым и репутационным потерям.

— Путем вывода из строя информационных систем, приостановки производственных и операционных процессов атакующие стремятся нарушить стабильную работу ключевых для экономики предприятий. Это может приводить к длительному параличу в работе организаций, сбоям в цепочках поставок, серьезным экономическим потерям и даже влиять на рядовых пользователей, — предупреждает старший эксперт Глобального центра исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) Георгий Кучерин.

Чаще всего мишенями для атак, ориентированных на полное уничтожение информации, становятся не абстрактные «крупные компании», а те отрасли, где сбой быстро превращается в реальный ущерб для людей и экономики, подтверждает Ян Блинов. Наиболее заметными в 2025 году были атаки на телеком и интернет-провайдеров, авиаперевозчиков и транспортные компании, а также электронные торговые площадки.

— Самыми уязвимыми оказываются именно критически важные и массово используемые сервисы, а не только классическая «критическая инфраструктура» в узком смысле: чем сильнее организация встроена в повседневную жизнь общества, тем заметнее последствия атаки, — разъясняет эксперт.

Впрочем, направленные на полное уничтожение информации инциденты могут коснуться не только различных индустрий, но и организаций разного масштаба. Малый бизнес также не застрахован от подобного, потому что четкой приоретизации, по мнению Станислава Пыжова, у злоумышленников нет — они атакуют тех, кого удается взломать.

Причиной успеха кибератак, предусматривающих уничтожение данных, в основном становятся ошибки, допущенные при построении инфраструктуры и системы ее защиты. По данным BI.ZONE Digital Forensics and Incident Response, в подавляющем большинстве компаний встречаются одни и те же критические проблемы, создающие идеальные условия для злоумышленников. Ключевые ошибки — неконтролируемый периметр (тестовые серверы, устаревшие VPN‑шлюзы и незащищенные веб‑приложения становятся удобной точкой входа в инфраструктуру для атакующего), отсутствие фильтрации в почте, неиспользование двухфакторной аутентификации при подключении к VPN и незащищенный доступ для подрядчиков.

Поэтому нельзя сказать, что изменение характера угроз требует радикально нового подхода к защите. Современные системы способны детектировать и блокировать значительную часть атак, но у многих организаций этот комплекс просто не выстроен: нет достаточного числа специалистов, не хватает бюджета, процессы реагирования и восстановления не отлажены, а меры безопасности внедрены фрагментарно, утверждает Ян Блинов.

— Там, где защита выстроена системно, атака может быть быстро замечена и локализована. Там же, где есть пробелы в процессах и видимости, даже сравнительно простая операция может привести к серьезным последствиям, — предупреждает он.

Защитные решения не способны гарантированно предотвратить кибератаку — они создают основу, но остаются пассивным барьером без регулярного мониторинга, подтверждает Станислав Пыжов. Организации без круглосуточного контроля зачастую не замечают атаку на ранней стадии, обнаруживая уничтожение данных постфактум на утро следующего дня.

Поэтому наиболее эффективная защита от угрозы лишиться данных из-за действий злоумышленников строится на комплексной, эшелонированной системе, где вместе работают технологии, процессы и люди, убежден Блинов. В нее обычно входят сегментация сети, резервное копирование с проверкой восстановления, контроль привилегий, многофакторная аутентификация, мониторинг событий, управление уязвимостями и отработанный план реагирования на инциденты.

— Для защиты от атак, нацеленных на уничтожение данных, особенно важны изоляция критичных сегментов, наличие неизменяемых резервных копий, регулярные учения по восстановлению, а также повышение осведомленности персонала. Важен не только факт обнаружения и локализации инцидента, но и способность команды быстро вернуть сервисы в рабочее состояние после атаки, — подчеркивает эксперт.

При построении защиты Пыжов рекомендует придерживаться принципа Assumed Compromise — исходить из того, что злоумышленники рано или поздно смогут проникнуть в инфраструктуру, а потому все силы должны быть брошены на обеспечение безопасности критически важных ресурсов от компрометации и деструктивных действий, а не на попытки избежать атаки.

Важно не только внедрять продвинутые защитные решения, но и выстраивать ИБ-процессы в организации, проактивно подходить к поиску угроз и уделять внимание уровню защищенности подрядчиков, которые потенциально могут стать удобной точкой входа для атакующих, резюмирует Георгий Кучерин.