Готовьте ваши деньги: топ-10 самых дорогостоящих кибератак за все время

Коммуникация киберинцидентов, содержащая финансовый ущерб из-за простоя, недополученной прибыли, штрафов — редкость. Требований к непубличным компаниям, обязывающих раскрывать такой убыток, нет. В России согласно исследованию около 60% компаний не готовы предавать инциденты гласности. Культура открытости всё ещё слаба — там, где это возможно, бизнес предпочитает тактику замалчивания и избегания негативных коннотаций, связанных как с кибератакой, так и с ее последствиями.

В ежегодном отчете IBM Cost of a Data Breach в 2025 году (отчет вышел в августе) фиксируется глобальная средняя стоимость кибератаки 4,44 млн долл. Это на 9% ниже, чем годом ранее. Ресерчеры впервые за пять лет фиксируют снижение стоимости атаки, объясняя это более быстрыми обнаружением и локализацией инцидентов за счет роста экспертизы собственных ИБ-команд и DFIR-подрядчиков, а также внедрением AI и автоматизации. Но так было не всегда. Мы отобрали десять самых резонансных кибератак с официально подтвержденным ущербом в отчетности пострадавших компаний и их дочерних активов. В список не включена вредоносная кампания NotPetya 2017-го года, в результате которой суммарный ущерб организаций из 65 стран мира составил более $10 млрд.[1]  Представленные инциденты уже вошли в историю, как наиболее громкие для своего времени и дорогостоящие для бизнеса. Конечно, пока не произошло новых.

UnitedHealth Group / Change Healthcare — $3.09 млрд (2024).

Тип: атака шифровальщика (ALPHV/BlackCat)

Что атаковали: платформу биллинга и обработки платежей Change Healthcare, что вызвало массовый простой транзакций.

Кто: хакерская группировка BlackCat/ALPHV взяла на себя ответственность за взлом.

Как заявили злоумышленники, в ходе атаки им удалось похитить 6 Тбайт конфиденциальных данных, среди которых были медицинские записи, финансовые документы, персональные данные гражданских лиц и военнослужащих армии и флота США. UHG — это единая платежно-клиринговая «труба» всей отрасли здравохранения страны. Атака на ее системы ударила не только по ней самой, но по тысячам клиник. Суммарно в ходе взлома были затронуты данные 190 млн. человек. Компания выплатила выкуп вымогателям в размере $22 млн. В годовой отчетности подтвержден ущерб $3.09 млрд, в том числе около $2.2 млрд прямых расходов и ~$867 млн операционного влияния. Это крупнейший зафиксированный бизнес-ущерб от кибератаки в здравоохранении США.

Почему так дорого: простой критической платформы, авансы и займы провайдерам, форензика и перестройка целых сегментов ИТ в течение года после атаки, а также последствия утечки данных привели к беспрецедентному на сегодня ущербу.

Jaguar Land Rover — $2.5 млрд (≈£1.9 млрд) (2025)

Тип: кибератака с масштабной остановкой производственных линий автогиганта.

Что атаковали: производственные IT/OT-процессы, в результате произошла остановка линий в Солихалле, Хейлвуде, Вулверхэмптоне.

Кто: предположительно Scattered LAPSUS$ Hunters, точной атрибуции нет.

В результате кибератаки, работа сразу нескольких критически важных систем автоконцерна Jaguar Land Rover оказалась нарушена, включая цепочку поставок, заказ запчастей, системы регистрации дилеров и логистику. Взлом привел к приостановке производственных линий на нескольких заводах компании по всему миру. На данный момент, JLR — самый дорогостоящий кейс 2025-го года: оценка совокупного экономического ущерба в Великобритании £1.9 млрд по данным Cyber Monitoring Centre. С учетом кризисной ситуации правительство королевства предоставило JLR гарантии по кредиту в размере £1,5 млрд ($2 млрд) для покрытия ею текущих расходов. Суммарно атака на JLR затронула более 5000 организаций. Простой длился около 6 недель.

Почему так дорого: Именно длительный простой автоконвейеров с мультипликатором по цепочке поставок обеспечил каскадный эффект на сотни подрядчиков, потерянные смены и срыв выпуска модельных линеек.

Bybit — ~$1.5 млрд (2025)

Тип атаки: компрометация холодного и горячего кошельков биржи, социальная инженерия, фишинг.
Что атаковали: эфирный кошелек биржи, транзит из «cold» в «warm».
Кто: северокорейские хакеры TraderTraitor/Lazarus, атрибуция подтверждена ФБР, что совпадает с более ранними оценками исследователей.

Bybit, вторая по величине криптовалютная биржа в мире с 60 млн. пользователями и более 36 млрд. долл. ежедневного объема торгов, сообщила о взломе сама. В результате сложной атаки хакеры смогли проникнуть в сеть, скомпрометировать привилегированных пользователей, имеющих право подписи транзакций, запустить вредоносное ПО и изменить логику смарт-контрактов. В результате средства были отправлены на подконтрольные злоумышленникам адреса. Таким образом были выведены 400 000 ETH и stETH на сумму более $1,5 млрд. За два часа сумма была распределена по 50 разным кошелькам и выведена через различные криптосервисы.

Почему так дорого: в результате атаки произошел одномоментный вывод высоколиквидного актива, после чего Bybit столкнулась с масштабным оттоком клиентов, несмотря на объявленное вознаграждение в виде 10% от суммы, экстренные меры по возврату ликвидности и апгрейды защиты инфраструктуры.

Equifax — 1.4 млрд долл. (2017)

Тип атаки: эксплуатация уязвимости Apache Struts, длительная эксфильтрация.

Что атаковано: веб-приложение и бэкенды, базы с персональными данными.

Кто: точных данных по атрибуции нет.

Агентство кредитных историй Equifax (США) столкнулось с одним из самый громких на тот момент инцидентов. Хакеры воспользовались уязвимостью, возникшей из-за просроченного сертификата на сетевом устройстве, и смогли проникнуть в сеть компании. В результате был получен доступ к персональным данным 147 млн клиентов, включая данные примерно 13,8 млн из Великобритании. В утечке — имена, даты рождения, номера телефонов, данные для входа в аккаунты Equifax, частичные номера кредитных карт, а также адреса проживания. Все это хранилось на серверах компании в США. Equifax обвинили в использовании небезопасной аутсорсинговой модели и в том, что она была осведомлена о недостаточном уровне кибербезопасности, но не предприняла соответствующих мер. Ее неоднократно штрафовали, как британские, так и американские регуляторы. По некоторым оценкам только штрафы составили $700 млн.

Почему так дорого: к такой сумме ущерба привело огромное число пострадавших из-за утечки, годы форензики и восстановления инфраструктуры, а также масштаб юридических обязательств и штрафы.

Ronin — $615 млн (2022)

Тип атаки: компрометация валидаторов криптомоста.

Что атаковано: Ronin bridge (перевод активов между сетями).

Кто: северокорейские хакеры Lazarus Group, официальная атрибуция ФБР.

Злоумышленники совершили крупную кражу криптовалюты с биржи Ronin Network, поддерживающего NFT-игру Axie Infinity, откуда были выведены монеты Ethereum и стейблкоина USDC на общую сумму $615 млн. Они скомпрометировали пять из девяти узлов валидации сети, используя вредоносное ПО и устаревшие учетные данные. Это позволило получить доступ к закрытым ключам клиентов биржи. Инцидент был обнаружен самим криптопроектом после того, как один из пользователей не смог вывести принадлежащие ему активы. Позже Axie Infinity смогла вернуть часть средств — $125 млн — и направить их на компенсацию потерь пользователей, но покрыла лишь 20% убытка.

Почему так дорого: в данном случае, вопрос риторический. Помимо денежного убытка, среди последствий взлома называется подрыв доверия к блокчейн-играм и отток клиентов.

Yahoo — $467.5 млн суммарно (2013–2017)

Тип атаки: массовая утечка учетных записей с серверов, более точная информация отсутствует.

Что атаковано: какие именно системы были атакованы не уточняется, начальный вектор атаки не установлен.

Кто: точной атрибуции нет.

Перед сделкой с Verizon (2016 год), глобальная Интернет-компания Yahoo  решила придать гласности инцидент, произошедший два года назад. На тот момент это был крупнейший публичный инцидент в истории. Yahoo признала, что хакеры украли из ее баз данных информацию о почти 500 миллионах пользователей.

Открытость стоила Yahoo дорого: Verizon сократила свое предложение на $350 млн. Но спустя еще год — в 2017 — Yahoo уточнила данные: все 3 млрд аккаунтов пользователей оказались затронуты атакой, что утроило раннюю оценку крупнейшего взлома в истории. Утечка содержала персональные данные, включая имена пользователей, электронную переписку, даты рождения, телефонные номера и зашифрованные пароли, а также «незашифрованные секретные вопросы и ответы на них», которые использовались для дополнительной верификации доступа к аккаунтам. Компания утверждала, что к данным кредитных карт хакеры доступ не получили.

Yahoo столкнулась с 41 коллективным иском потребителей в федеральных и региональных судах США. Сам инцидент уникален беспрецедентным масштабом затронутых аккаунтов и прямым влиянием на M&A.

Почему так дорого: дисконт в $350 млн. к цене сделки с Verizon и последующее урегулирование исков на $117,5 млн долл. для пострадавших пользователей.

Marks & Spencer — ~£300 млн (≈$385–$400 млн) (2025)

Тип атаки: шифровальщик, эксфильтрация данных, длительная остановка ИТ-систем.

Что атаковано: корпоративные и розничные ИТ-системы, прежде всего для онлайн-заказа, система click&collect.

Кто: сама компания называла DragonForce, ранее в СМИ упоминалась связка со Scattered Spider/Octo Tempest, которая использует DragonForce.

На выступлении в парламенте Великобритании М&S утверждала, что злоумышленники использовали социальную инженерию для запуска шифровальщика. В результате атаки онлайн-торговля остановилась на 46 дней, а система click&collect работала в ограниченном режиме почти четыре недели. В местах продаж начались перебои с бесконтактной оплатой и подарочными картами, отключались автоматизированные системы управления складскими запасами и логистикой. Компания также официально подтвердила утечку части персональных данных клиентов: контакты, адреса, дата рождения, история онлайн-заказов и т. п.; платежные реквизиты и пароли не затрагивались.

Почему так дорого: Из-за шестинедельной остановки и сбоев в цепочках поставок и магазинах М&S оценила потери операционной прибыли в ~£300 млн. За полугодие чистая прибыль до налогообложения упала на 55,4%. Компания зафиксировала £101,6 млн прямых расходов на инцидент в 1-м полугодии и планировала ещё £34 млн во 2-м, а страховое покрытие составило £100 млн. По оценке AP, «потерянные продажи» достигли ~ £324 млн, тогда как ожидаемое влияние на прибыль за год — около £136 млн.

Target — $290 млн (2013–2015)

Тип атаки: взлом платежных систем, установка RAM-скрейпера на кассах, проникновение в сеть через скомпрометированные учётные данные подрядчика.

Что атаковано: сеть POS-систем, платежный контур в офлайн-магазинах США.

Кто: подтвержденной атрибуции нет, однако СМИ связывали атаку с русскоговорящими кардерами.

Резонансная для своего времени атака на розничную сеть магазинов Target — третью по величине в США — позже будет названа “учебником” по взлому POS через уязвимость цепочки поставок. Инцидент ускорил переход на EMV/чип-карты во всей отрасли ритейла США.

С помощью социальной инженерии злоумышленники выманили учетку у сотрудника компании-подрядчика HVAC (Fazio Mechanical), и с ее помощью зашли во внешний контур сети Target. Слабая сегментация сети  позволила им проникнуть внутрь, повысить права и добраться до серверов, которые управляли софтом на кассах. На POS-терминалы был установлен модифицированный BlackPOS/Tr0jan.POSRAM, который снимал из оперативной памяти данные банковских карт в момент оплаты покупок на кассах магазинов. Собранные дампы сначала сливались на внутренние «промежуточные» узлы, потом по расписанию в рабочие часы отправлялись на внешние drop-сервера в США и других странах, чтобы трафик терялся в шуме. Система мониторинга (включая FireEye) выдавала алерты, но они были проигнорированы.

В результате были похищены данные ~40 млн банковских карт. Отдельно выявлена кража персональных данных ~70 млн клиентов (имена, адреса, e-mail, телефоны). Громкая атака расследовалась как независимыми, так и правительственными экспертами США.

Target сообщила о $290 млн расходов, из которых $90 млн позже были возмещены страховой компанией..

Почему так дорого: последствиями атаки стал массовый перевыпуск банковских карт, компенсации банкам-эмитентам, коллективные иски потребителей, расходы на форензику и технологический апгрейд POS.

Capital One — $270 млн (2019–2022)

Тип атаки: ошибка конфигурации облачного WAF и доступ к S3.
Что атаковано: облачная инфраструктура банка и данные заявителей.
Кто: Пейдж Томпсон, экс-сотрудница AWS, осуждена.

Capital One, один из крупнейших американских банков, подвергся кибератаке, в результате которой были скомпрометированы персональные данные 106 млн клиентов банка в США и Канаде, а также тех, кто только подал заявку на оформление кредитной карты. Кроме того, в ходе атаки были украдены номера социального страхования 140 тысяч клиентов банка или около 80 тысяч номеров банковских счетов.

Злоумышленницей оказалась 33-летняя Пейдж Томсон aka erratic, в прошлом — сотрудница Amazon.com. Она взломала системы защиты, благодаря ошибке в конфигурации межсетового экрана уровня приложений, и получила доступ к данным клиентов, которые хранились в облачном сервисе Amazon.com. Томсон опубликовала на GitHub детали взлома, после чего один из пользователей уведомил об этом Capital One. Горе-хакершу задержали ФБР. Подтвержденный ущерб составил $190 млн по коллективному иску плюс $80 млн штрафа от регулятора.
Почему так дорого: совокупность регуляторных штрафов, судебных выплат и последующих программ комплаенса.

TJX Companies — $256 млн (2007 — 2005)

Тип атаки: кража данных банковских карт через уязвимости POS-систем

Что атаковано: сеть POS-систем, центральные платежные серверы

Кто: группа под руководством Альберта Гонсалеса, он признал вину и был осужден на 20 лет.

В 2007 году крупнейшая американская розничная сеть одежды TJX Companies стала жертвой кибератаки, в результате которой было украдено более 45,6 млн номеров кредитных и дебетовых карт клиентов 2500 магазинов компании в Великобритании и Северной Америке. Злоумышленники воспользовались уязвимостью в WiFi-сети в одном из магазинов Marshalls в Майами, что позволило им проникнуть в контур сети TJX и, благодаря эксплуатации уязвимости в системе учета транзакций, перехватывать данные банковских карт в течение рекордных 18 месяцев.

Расследование выявило, что компания нарушала протоколы информационной безопасности, в частности, PCI DSS, и хранила данные карт в незашифрованном виде. К моменту ареста киберпреступники успели потратить около $8 млн.

Эту кражу называли крупнейшей в истории: именно инцидент TJX Companies впервые показал цену слабой сетевой сегментации и WEP/Wi-Fi-уязвимостей. Подтвержденный убыток сети составил $256 млн.

Почему так дорого: перевыпуск банковских карт, мировые соглашения с платежными системами Visa ($40.9 млн) и MasterCard ( $9.75 млн), а также расходы на суды, аудит и полную модернизацию сети.