Провайдер «Орион» оценил ущерб от кибератаки в 10% от выручки

Ущерб от взлома сибирского интернет-провайдера ГК «Орион» мог составить 66 млн руб., следует из его заявления, подданного в полицию в августе 2025 года, где компания просит возбудить уголовное дело по статье 272 УК РФ часть 4 «Неправомерный доступ к компьютерной информации». Напомним, что 12 июня в соцсетях провайдера появилось сообщение о том, что сетевая и серверная инфраструктура ГК «Орион» подверглась DDoS-атаке. Позже ответственность за атаку взяла на себя украинская группировка BO Team.

В заявлении компании в полицию говорится, что, по оценке BI.ZONE (организация проводила расследование инцидента), самая ранняя аномальная активность в структуре «Ориона» была найдена 30 мая 2025 года с учетной записи сотрудника, уволенного еще в 2022 году (некого Головкина И.Р.). Помимо этого указано, что IP-адреса злоумышленников находятся в России.

Ущерб составил примерно 10% от выручки компании, поэтому инцидент можно считать серьезным, говорит руководитель направления центра мониторинга и реагирования на кибератаки RED Security SOC компании RED Security Михаил Климов. «При этом озвученная сумма ущерба, скорее всего, не учитывает риски претензий со стороны субъектов утекших персональных данных и репутационные потери, которые позднее также могут трансформироваться в финансовые», — подчеркивает он. На что еще могут потратится компании при успешной хакерской атаке SecPost рассказывал в отдельной статье.

Продолжение ниже

Учитывая масштаб деятельности компании как значимого сибирского провайдера, инцидент представляет собой серьезный операционный и репутационный удар, подчеркивает директор департамента методологии информационной безопасности «Ростелекома» Михаил Савельев.

По версии провайдера, злоумышленники могли найти данные уволенного сотрудника на веб-серверах заказчика, или же сам сотрудник передал данные учетной записи хакерам. В письме сказано, что в завершающей фазе атаки злоумышленники имели полный контроль над инфраструктурой ГК «Орион», а также при «заметании» следов присутствия хакеры удалили целые сервера провайдера.

Помимо финансового ущерба мошенники украли около полумиллиона строк персональных данных клиентов ГК «Орион», а именно: фамилия, имя, отчество абонента, пароли, логины, паспортные данные и др., сами данные были скачаны до DDoS-атаки на провайдера.

Обвинения со стороны ГК «Орион» коснулись и конкретных организаций — провайдер в заявлении указывает, что телеграм-канал «Восьмой канал Z», принадлежащий ООО «Телекомпания 8 канал» имеет связь с хакерами, поскольку в нем сообщение о взломе ГК «Орион» вышло раньше, чем у группировки BO Team.

Михаил Климов предупреждает, что следствием утечки персональных данных может быть рост объема фишинга и телефонного мошенничества в отношении клиентов ГК «Орион».

Не обошли стороной косвенные обвинения со стороны ГК «Орион» и другого бывшего сотрудника компании. В заявлении провайдер указывает, что технический директор Черкашин А.Л. увольняясь из компании в середине 2024 года скопировал конфиденциальные сведения из ГК «Орион». К тому же, отмечается в документе, при увольнении Черкашин требовал от провайдера «не обоснованные» премиальные в размере 3 млн руб. После отказа, говорится в заявлении, Черкашин начал передавать данные Головкину (уволенному в 2022, прим. SecPost).

Провайдеру в первую очередь после взлома необходимо установить причину взлома и внедрить меры, препятствующие повторению инцидента, подчеркивает представитель RED Security. «Следом необходимо проверить всю инфраструктуру на признаки компрометации, сменить пароли у скомпрометированных учетных записей, устранить все последствия взлома, и, разумеется, разработать план повышения уровня информационной безопасности, обязательно предусмотрев проверку бэкапов и наличия плана оперативного реагирования на инциденты», — подытожил Климов.