Уничтоженные резервные копии и 3 недели на восстановление: ВСК раскрыл подробности кибератаки на свою систему

«Страховой дом ВСК» подготовил доклад о кибератаке на компанию в ноябре 2025 года, содержащую детали инцидента и выводы, которые были сделаны по его итогам. Презентация была представлена в ходе мероприятия в «Кибердоме».

Подробности атаки

В докладе ВСК сообщил, что 11 ноября 2025 года ВСК был атакован группировкой, которая проводила атаки на российские организации с января 2025 года. Злоумышленники скомпрометировали ряд хостов, захватили учетную запись администратора, запустили вирус шифровальщик, повредив файлы виртуальных машин, и уничтожили ряд резервных копий. Также в отчете ВСК указывает, что хакеры находились в системе страховой компании относительно не долго: вся атака произошла в течении суток.

В ходе атаки была повреждена вся виртуальная инфраструктура (серверы, виртуальные рабочие станции в обоих ЦОДах), а также уничтожены резервные копии в одном из ЦОДов. Не пострадала сетевая инфраструктура, физические серверы, физические рабочие станции и резервные копии во втором ЦОДе.

Атакой был затронут ряд критических бизнес-процессов: остановились фронт-офисные системы для продавцов, пропала возможность онлайн-оформления полисов, остановились партнерские API-интеграции, системы скорринга и тарификации, перестал работать активный контакт-центр.

Восстановление инфраструктуры заняло три недели. За первую неделю были развернуты сервисы ИБ, восстановлены базовые сервисы инфраструктуры, запущены VPN, почта, учетная система, контакт-центр. К середине следующей недели удалось восстановить работу сайта. К концу третьей недели был запущен личный кабинет клиентов и API партнеров.

Для восстановления систем ВСК обратился к команде цифровой криминалистики и команде реагирования на инциденты, расшифровщикам, инженерам по восстановлению СЗИ и техническим аудиторам.

Масштабы потерь

В ВСК не смогли дать ответ SecPost на вопрос о том, каковы были финансовые потери бизнеса и сколько средств компания намерена инвестировать в развитие кибербезопасности.

Потери бизнеса из-за пропущенных кибератак могут включать не только прямые убытки из-за нарушения бизнес-процессов и срыва контрактов, но и косвенные, связанные с репутационными потерями, утратой доверия клиентов и многими другими факторами, рассказал SecPost Александр Соколов, директор сервисного блока компании F6: «Для каждой компании эти факторы уникальны. В 2024 году средний размер ущерба от инцидентов ИБ по отраслям в мире составлял от 282 млн рублей для ретейла до 791 млн рублей для компаний из сферы здравоохранения. Для финансовой сферы этот показатель составлял около 500 млн рублей».

Суммы первоначального выкупа за расшифровку данных, которые предъявляли преступники, в 2025 году в среднем колебались от 4 млн до 40 млн рублей, добавляет Соколов.

Сумму необходимых для надежной защиты инвестиций в ИБ эксперты оценить затрудняются. По словам Алексея Коробченко, начальника отдела по информационной безопасности компании «Код Безопасности», точная сумма зависит от масштаба инфраструктуры: ориентиром может служить процент от ИТ-бюджета, но конкретную цифру должен определять аудит с учетом выявленных пробелов.

«Инцидент показал комплекс проблем: бумажный BCP (Business Continuity Plan — документ, который содержит документированные процедуры и инструкции для организации, направленные на обеспечение непрерывности бизнес-процессов в случае возникновения инцидентов, прим ред), недоступные DRP-планы, отсутствие мониторинга части активов, незащищенные управляющие интерфейсы, непродуманные мощности под восстановление», — подчеркивает он, добавляя, что инвестиции нужны не в одну область, а в системное устранение всех этих пробелов.

Соколов из F6 добавляет, что «для крупных российских компаний девятизначные суммы инвестиций в ИБ – далеко не предел».

Выводы по результатам инцидента

В выводах по итогам инцидента ВСК указал, что покрытие SOC для некритичных узлов инфраструктуры не менее важен, поскольку атаки могут начинаться именно с них, также необходим мониторинг систем в нерабочее время, нельзя экономить на пентестах и др.

Представитель пророссийской хакерской группировки «Смешарики» считает, что злоумышленники могли войти в систему ВСК за счет плохо настроенного VPN, а также с помощью фишинга. «Скорее всего в периметре компании стояли Firewall старых поколений, которые опытные хакеры уже давно научились обходить», — делится он своим мнением. Также он согласился с тезисом ВСК, что нерабочее время является основным временем для входа хакеров в сеть компаний.

SOC (Security Operations Center — центр мониторинга информационной безопасности) — это элемент построения комплексной системы защиты информации, а не серебряная пуля, эти процессы могут «подсвечивать» слепые зоны в процессах ИТ и ИБ, но не могут закрыть собой все домены безопасности, объясняет технический директор центра мониторинга и реагирования на кибератаки RED Security SOC Владимир Зуев. «ВСК пошла на очень правильный шаг, поделившись своими выводами из инцидента. Многим компаниям они могут помочь уберечься от того ущерба, который был нанесен страховой», — говорит он.

Также Коробченко считает, что ВСК необходимо проводить постоянные аудиты настроек СЗИ, сервисов и процессов как собственными силами так и с привлечением внешних специалистов. «Речь идет не о проведении пентестов, а именно об аудитах — такой подход позволяет выявлять системные проблемы, подобные тем, что вскрылись в ходе инцидента, до того, как они приведут к катастрофическим последствия», — уверяет он.

В конце своего выступления представители ВСК делают упор на то, что по их словам многие из рисков (в том числе финансовых) перекрываются с помощью киберстрахования. Напомним, что и сам ВСК предоставляет услуги по киберстрахованию.

Как сообщал SecPost, рынок киберстрахования в РФ вырос в 2025 году примерно на 20-30%, а по страховым взносам и вовсе на 60%. В 2026 году рост продолжится: в диапазоне от 10 до 30%.

Читайте также:

ИБ-эксперты называют 2025 год «кровавым» — такого числа успешных кибератак на российские компании не наблюдалось никогда прежде. SecPost насчитал и собрал в таблице 25 случаев, когда хакерам удалось нанести ущерб, информация о котором стала публичной. Реестр кибератак продолжает пополняться по мере того, как становится известно о новых инцидентах.