Масштабной кибератаке с использованием вируса-шифровальщика подвергся Агрокомплекс им. Н. И. Ткачева — одно из крупнейших сельскохозяйственных предприятий в России. Компания еще устраняет последствия инцидента. По данным “Ъ”, ей пришлось столкнуться не только с трудностями в работе, но и с вымогательством 500 млн руб. Вирусы-шифровальщики все чаще используют для сложных кибератак, отмечают эксперты, а жертвы могут пострадать не только от хакеров, но и от государства — назначение платежей выкупа невозможно подтвердить.
Источники “Ъ” на рынке кибербезопасности рассказали о крупной и успешной хакерской атаке на Агрокомплекс им. Н. И. Ткачева, принадлежащий экс-министру сельского хозяйства Александру Ткачеву и его семье. По словам одного из собеседников “Ъ”, атаке подверглись «все IT-системы компании, инцидент привел к краже и шифрованию данных на серверах организации». Сайт агрокомплекса не работал 8 и 9 апреля, убедился “Ъ”.
На сервере произошел технический сбой из-за хакерской атаки, подтвердили “Ъ” в компании, уточнив, что работы по устранению последствий продолжаются. В агрокомплексе рассчитывают на «возвращение к нормальному функционированию» в течение трех-пяти дней. В компании заверили, что «выполнят все обязательства по обеспечению продукцией населения и отгрузкам товаров для партнеров».
Собеседник “Ъ” на рынке уточняет, что целью хакеров была не только остановка работы компании, но и выкуп за украденные данные. По его информации, запрос хакеров составил около 500 млн руб. В компании факт выплаты комментировать не стали.
Агрокомплекс им. Н. И. Ткачева создан в 1993 году на Кубани, занимается растениеводством, мясным и молочным животноводством, переработкой и т. д. В 2023 году земельный банк составил 1,1 млн га, выручка — 84,53 млрд руб., чистая прибыль — 13,86 млрд руб. В 2022 году стоимость земель в их владении оценивалась в 152,1 млрд руб. Подконтролен семье бывшего губернатора Краснодарского края, экс-министра сельского хозяйства РФ Александра Ткачева.
По мнению собеседника “Ъ” в одной из крупных компаний, занимающихся информбезопасностью, доступ к данным агрокомплекса мог быть получен через фишинг, уязвимости в публичных приложениях или RDP-порты (протокол удаленного рабочего стола). Директор центра мониторинга и противодействия киберугрозам IZ:SOC «Информзащиты» Александр Матвеев считает, что злоумышленники выбрали агрокомплекс из-за «финансовой стабильности и вероятной готовности к выплате». «Атака не была замечена и не были приняты сдерживающие меры, вследствие чего злоумышленники смогли получить доступ к инфраструктуре»,— считает эксперт.
Угроза со стороны хакеров, использующих вирусы-шифровальщики (попадая на устройства, шифруют ценные файлы), растет с начала конфликта на Украине, однако их запросы к концу 2022 года снизились: средняя величина выкупа год к году упала более чем в 20 раз (см. “Ъ” от 21 ноября 2022 года). Тогда тенденцию связывали с падением стоимости вредоносного софта. По данным Solar JSOC ГК «Солар», в первые месяцы 2024 года доля атак, в том числе с использованием шифровальщиков, выросла более чем в два раза к четвертому кварталу 2023 года.
В ЕС и США случаи кибершантажа нередки. Так, в апреле 2023 года злоумышленник загрузил вирус-вымогатель в информационную систему департамента шерифа округа Сан-Бернардино в США. Атака стоила $1,1 млн.
В России выплаты хакерам не регулируются, уточняет директор технического департамента RTM Group Федор Музалевский. Однако, по его словам, перевод может «попасть под статью об отмывании доходов, поскольку легальными документами транзакцию подтвердить нельзя». Поэтому выкупы платят, как правило, через криптовалюту. Величина выкупа в криптовалюте может составлять от 2 BTC (около 13 млн руб. на 9 апреля) за несколько серверов, уточняют в «Информзащите».
Руководитель направления аналитики киберугроз ГК «Солар» Дарья Кошкина отмечает «тренд на усложнение атак» и считает вероятным, что «в ближайшем будущем число вымогателей возрастет».