Раздели до нитки. Как хакеры [успешно?] атаковали ритейлера одежды

В теплые дни 2025 года, когда сама погода располагает думать только о хорошем и наслаждаться жизнью, известный и обожаемый модницами всей страны fashion-ритейлер подвергся атаке вируса-шифровальщика.

Расследование инцидента показало, что непосредственно нападению предшествовала целая цепочка подготовительных событий. Еще за несколько месяцев, в феврале 2025 года, хакеры средствами социальной инженерии обманули сотрудника подрядчика, который имел легальный доступ в сеть ритейлера. Злоумышленники использовали аутентификационные данные этого специалиста, обошли периметр защиты, закрепились в инфраструктуре и начали тихо изучить ее изнутри.

Всё это время они искали слабые места, крали данные разной степени бизнес-критичности, наращивали права доступа, расставляли “закладки” из вредоносного кода тут и там. Решающим ударом оказалось внедрение в сеть ритейлера вируса-шифровальщика. Он вывел из строя десятки корпоративных информационных систем, включая автоматизированные склады и платформу онлайн-торговли. Хакеры потребовали выкуп, исчисляемый десятками миллионов.

Последствия оказались разрушительными. Первыми встали онлайн-продажи. Забегая вперед, они остановились на несколько недель, что намекает на масштаб атаки. Часть сотрудников получила распоряжение не выходить на работу. Чтобы хоть как-то сгладить сбои в поставках, склады и оффлайновые магазины экстренно перешли на бумажный документооборот.

Всё это время ИБ-специалисты ритейлера при поддержке приглашенных экспертов вели со злоумышленниками переговоры и купировали последствия атаки, не давая ей распространиться дальше. Помимо недополученной прибыли и затрат на услуги внешних ИБ-специалистов бизнес рискует понести дополнительные потери в виде штрафов со стороны национального регулятора, поскольку утечка персональных данных клиентов розничной сети подтверждена.

Компания не раскрыла, выплатила ли она выкуп злоумышленникам.

Но менеджмент организации поспешил инициировать среди клиентов, партнеров и инвесторов разъяснительную работу.

В кризисе лидерство — это прежде всего коммуникация. Генеральный директор ритейлера лично обратился к клиентам через социальные сети, извинившись за сбои и рассказав о предпринимаемых мерах. Этот шаг сыграл ключевую роль в сохранении доверия аудитории — даже несмотря на существенный масштаб инцидента.

После атаки fashion-ритейлер публично заявил о намерении усилить кибербезопасность. Хотя компания не раскрывает всех деталей предпринимаемых шагов, ИБ-эксперты считаю наиболее вероятными следующие действия:

• усиление требований к поставщикам и подрядчикам, включая обязательные аудиты их систем и процессов;
• переход к многофакторной аутентификации с использованием биометрических данных и аппаратных токенов для сотрудников и партнёров;
• разработку и внедрение четких планов реагирования на киберинциденты и регулярная отработка порядка действий в ходе соответствующих учений;
• инвестиции в повышение киберграмотности сотрудников, особенно тех, кто работает с клиентскими данными или имеет доступ к критическим системам.

Этот драматичный кейс неожиданно завершился в конце мая. Правоохранители “вычислили” преступников и заключили их под стражу. Справедливость восторжествовала, но пострадавшей стороне от этого не легче: выпадающие доходы от простоя бизнеса, репутационные потери и вероятные суммы штрафов от регуляторов исчисляются для потерпевшей компании сотнями миллионов.

Открытая коммуникация, быстрое реагирование и готовность публично брать ответственность (пусть даже это в буквальном смысле стоит дорого) не позволили кризису расползтись еще шире и стать причиной более серьезных убытков. Как бы то ни было, финансовые последствия инцидента намекают: в нынешних условиях с точки зрения любой компании кибербезопасность — это далеко не только про “расходы на ИТ”, а инвестиции в функцию, стратегический бизнес-приоритет которой измеряется вполне понятными и немаленькими суммами.