В мире киберугроз мы привыкли к «бизнесу» на данных: хакеры шифруют файлы и требуют выкуп, оставляя призрачный шанс на восстановление. Однако все чаще на сцену выходят вайперы — цифровое оружие, созданное не для наживы, а для разрушения. Их единственная задача — стереть данные безвозвратно, парализовать работу целых ведомств и корпораций. Кибер Медиа разбирает, как распознать «убийцу данных» на ранних подступах, почему обычные бэкапы могут подвести в критический момент и какие архитектурные изменения необходимы, чтобы ваша сеть не превратилась в цифровой пепел.
Содержание
Ландшафт киберугроз претерпел качественную трансформацию. На смену классическим программам-вымогателям, которые блокировали данные ради получения прибыли, пришли инструменты тотального уничтожения. В современной практике информационной безопасности этот класс вредоносного ПО получил название вайперы.
Основная цель таких атак — не кража информации, а уничтожение инфраструктуры. В отличие от шифровальщиков, вайперы не предполагают возможности восстановления данных даже в теории. Для команд ИБ это означает смену приоритетов: на первый план выходит не предотвращение кражи, а обеспечение выживаемости систем в условиях их массового уничтожения.
Использование программ-уничтожителей сегодня диктуется несколькими ключевыми факторами:
В современных реалиях любая компания, связанная с критически важными отраслями, автоматически попадает в зону риска. Атака вайпера не оставляет места для переговоров, превращая защиту данных в вопрос сохранения жизнеспособности всей организации.
Для рядового сотрудника или руководителя компании атака вайпера в первые минуты неотличима от инцидента с шифровальщиком. На экранах может появиться стандартное сообщение с требованием выкупа и таймером обратного отсчета. Однако в случае с деструктивным ПО это окно для оплаты — лишь «дымовая завеса», предназначенная для усыпления бдительности службы безопасности.
Пока администраторы обсуждают возможность выкупа, вредоносный код завершает фоновое уничтожение системных разделов и резервных копий. Главная ловушка заключается в ложной надежде.
Алексей Колодка
Директор по продажам компании «ГИГАНТ Компьютерные системы»
По своей сути эти вредоносные программы действительно очень похожи. Но разница в предназначении. Классический шифровальщик — это инструмент выкупа, инструмент наживы. Его задача — зашифровать данные и затем предложить пользователю вернуть к ним доступ за вознаграждение. Соответственно, ключ шифрования сохраняется, механизм восстановления предусмотрен, иначе сама модель заработка теряет смысл.
Вайпер — это вредоносное ПО с иной логикой. Его цель не в получении денег, а в нанесении максимального ущерба. Он либо напрямую уничтожает данные, либо выполняет шифрование, после чего шифровальный ключ автоматически уничтожается. В результате доступ к информации утрачивается без возможности восстановления. Внешне это может напоминать атаку шифровальщика, но по факту возврат данных невозможен в принципе.
Отсюда и различие в типологии целей. Если говорить о шифровальщиках, то в первую очередь это коммерческие организации с достаточными финансовыми показателями — там, где потенциально можно получить выкуп. В случае с вайперами речь чаще идет о государственных или около государственных структурах. Такие инструменты используются не ради финансовой выгоды, а ради деструктивного эффекта. В качестве примера можно привести атаки украинских хакеров на российские компании, где как раз применялась логика вайпера: без задачи монетизации, с задачей максимального ущерба.
Понимание этих нюансов меняет приоритеты реагирования. Если в случае с вымогателем у команды ИБ есть время на анализ ситуации, то при обнаружении признаков вайпера счет идет на секунды: единственным верным решением становится немедленная изоляция сегментов сети и физическое отключение хранилищ данных.
Вайпер-атака почти никогда не начинается с разрушения. Массовое уничтожение данных — это финальный и самый короткий этап операции. До него злоумышленники могут неделями находиться внутри инфраструктуры: закрепляться в сети, изучать архитектуру, искать критические системы и готовить механизмы для одновременного запуска вредоносного кода.
Именно поэтому распознать угрозу заранее сложно. На ранних стадиях активность атакующих часто выглядит как обычные административные операции, а первые признаки проблемы могут напоминать технический сбой. Когда же становится понятно, что данные целенаправленно уничтожаются, инфраструктура уже может быть глубоко скомпрометирована.
Владислав Шелепов
Аналитик угроз GSOC компании «Газинформсервис»
Однозначно стоит искать изменения в загрузочной области дисков — повреждение или перезапись МБР (главной загрузочной записи) или таблицы разделов ГУИД, использование bcdedit/bootcfg; удаление теневых копий и отключение службы теневого копирования, например, вызовы vssadmin delete shadows /all, wbadmin delete catalog или явное завершение службы теневого копирования. Часть вайперов полностью стирает теневые копии, а некоторые просто отключают службу теневого копирования. Также стоит обратить внимание на то, что злоумышленники могут проводить атаки на контроллеры домена, стремясь получить права доменного администратора, чтобы распространить вайпер по всей сети и очищать системные логи или останавливать службы аудита, чтобы скрыть следы своей активности.
Жизненный цикл атаки вайпера обычно развивается по достаточно типичному сценарию:
Проблема для аналитиков ИБ заключается в том, что первые часы инцидента почти всегда проходят в условиях технической неопределенности. Поврежденные файловые системы могут выглядеть как сбой хранения, журналы событий часто уже частично уничтожены, а многие действия атакующих выполняются через штатные инструменты администрирования.
Алексей Колодка
Директор по продажам компании «ГИГАНТ Компьютерные системы»
С точки зрения реагирования это означает, что стратегию нельзя строить из предположения «это просто шифрование». Если ошибочно считать атаку классическим вымогателем, можно потерять критическое время, рассчитывая на возможность восстановления или переговоров.
В первые часы инцидента целесообразно исходить из более жесткого сценария, как если бы это был вайпер. Это предполагает немедленную изоляцию сегментов, отключение резервных систем от сети, блокировку подозрительных учетных записей и приоритетную защиту инфраструктуры резервного копирования.
Иными словами, неопределенность типа вредоносного ПО должна смещать стратегию реагирования в сторону максимальной изоляции и сохранения того, что еще не затронуто. Ошибка в сторону «избыточной» реакции безопаснее, чем недооценка деструктивного сценария.
В результате команде реагирования приходится одновременно разбираться в природе инцидента, оценивать масштаб компрометации и принимать решения по изоляции инфраструктуры — зачастую практически без полной картины происходящего.
Долгое время резервное копирование считалось универсальным ответом на любые катастрофы: если данные потеряны — их можно восстановить из бэкапа. Но в случае атак с использованием вайперов эта логика больше не работает. Современные атакующие хорошо понимают ценность резервных копий и почти всегда пытаются уничтожить их до запуска основной фазы атаки.
Поэтому сегодня резервное копирование перестало быть чисто технической задачей ИТ-подразделения. Это уже элемент стратегии выживания инфраструктуры. Если система резервирования построена неправильно, она может исчезнуть вместе с основной инфраструктурой — буквально в течение нескольких минут после запуска вредоносного кода.
Главная проблема классической модели бэкапов в том, что она слишком тесно интегрирована с основной инфраструктурой. Если злоумышленник получает доменные привилегии или доступ к системам администрирования, резервные копии оказываются под тем же контролем, что и боевые данные.
Семен Рогачев
Руководитель отдела реагирования на инциденты Бастион
При правильной реализации стратегии резервного копирования она успешно работает как против программ-вымогателей, так и против вайперов. К сожалению, для атакующих, использующих названное ПО, системы резервного копирования — приоритетная цель. Правильная реализация стратегии резервного копирования, например, с использованием физически изолированных резервных копий, часто неудобна, поэтому с целью упрощения работы с ней принимаются архитектурные решения, которые в дальнейшем используются злоумышленниками. Например, использование доменной аутентификации в системе резервного копирования, отсутствие ее изоляции от основного контура инфраструктуры.
Чтобы резервное копирование действительно помогло пережить разрушительную атаку, архитектура должна учитывать несколько ключевых принципов:
Фактически речь идет о переходе от простой схемы «сохранять данные на всякий случай» к архитектуре устойчивости. В условиях целевых атак задача резервного копирования — не только сохранить информацию, но и гарантировать, что хотя бы одна ее копия переживет компрометацию инфраструктуры.
Главная опасность вайперов — не только в уничтожении данных, но и в масштабе разрушения. Если злоумышленник получает контроль над доменной инфраструктурой или системой централизованного управления, вредоносный код может быть запущен одновременно на сотнях машин. В этом случае атака превращается в лавинообразный процесс: инфраструктура «гаснет» сегмент за сегментом, а времени на реакцию почти не остается.
Поэтому ключевая задача архитектуры безопасности — не столько полностью предотвратить проникновение, сколько ограничить радиус поражения. Даже если злоумышленник оказался внутри сети, инфраструктура должна быть устроена так, чтобы он не смог уничтожить все системы одним действием.
Принцип «радиуса поражения» предполагает, что любая компрометация должна иметь ограниченный масштаб. Иными словами, каждая часть инфраструктуры должна быть способна «погибнуть» отдельно, не утащив за собой всю систему.
Юрий Тюрин
Технический директор MD Audit (SL Soft FabricaONE.AI, акционер — ГК Softline)
Наиболее эффективная мера — строгая сегментация сети с ограничением распространения привилегий. Если администраторские домены, серверы резервного копирования и критичные сервисы изолированы, масштаб разрушения существенно ограничивается. Отдельное значение имеет защита Активного Каталога: именно его компрометация часто становится точкой централизованного запуска вредоносного кода. Раздельные домены администрирования, многофакторная аутентификация для привилегированных учетных записей и минимизация прав доступа существенно снижают риски. Также критично использование принципа наименьших привилегий и отказ от универсальных администраторских учетных записей. Из перечисленных мер наиболее критичными являются защита Активного Каталога и изоляция резервного контура — именно они определяют, сохранится ли возможность восстановления после разрушительной атаки.
Такой подход меняет саму философию защиты. Вместо попытки построить «идеальную крепость» архитектура строится по принципу устойчивости к разрушению. Если одна часть инфраструктуры оказывается скомпрометированной, остальные сегменты должны продолжать работать — и давать команде ИБ время на локализацию атаки.
Атаки с использованием вайперов показывают, что модель классической «периметровой» защиты больше не гарантирует безопасность. Даже хорошо защищенная инфраструктура может быть скомпрометирована — вопрос лишь в том, сможет ли организация пережить последствия такой атаки.
Поэтому фокус постепенно смещается с предотвращения инцидентов на киберустойчивость — способность инфраструктуры продолжать работу и быстро восстанавливаться даже после разрушительных атак. Это требует иной логики защиты: архитектуры с ограниченным радиусом поражения, изолированных резервных копий и готовности к быстрому реагированию.
В конечном счете задача ИБ уже не только в том, чтобы не допустить атаку, но и в том, чтобы даже в худшем сценарии инфраструктура не перестала существовать.
Атаки на системы искусственного интеллекта смещаются с уровня кода на уровень данных.
Бурное внедрение нейросетей в бизнес-процессы породило не только новые возможности, но и специфические угрозы: от галлюцинаций и утечек обучающих выборок до жестких требований EU AI Act.
47% экспертов, представляющих руководство средних и крупных компаний, считают атаки с целью вымогательства главным риском своей информационной безопасности в 2025 году.
Корпоративные VPN перестают быть технической «данностью» и переходят в категорию регулируемых сетевых сервисов.
Вельц Сергей Владимирович - технический директор, соучредитель ООО "КБ ТехноСкор" специально для читателей Кибер Медиа рассказывает, как банку автоматизировать комплаенс-контроль, отказаться от рутины и превратить управление рисками из угадывания в точный расчет с помощью AI-агентов.
В 2026 году ландшафт цифровых коммуникаций претерпевает серьезные изменения: на фоне локальных сбоев связи, инфраструктурных ограничений и растущей потребности в автономности пользователи массово переходят на альтернативные способы общения.
Количество кибератак растет, а вместе с ними — и бюджеты на информационную безопасность.
Принцип security by obscurity знаком каждому, кто хоть немного погружен в кибербезопасность.
Категорирование объектов критической информационной инфраструктуры в 2026 году обрело новые контуры.
Современная атака может не оставить ни одного файла на диске — и при этом полностью скомпрометировать инфраструктуру.
