Кібератаки на критичну інфраструктуру 2010-2026: реєстр ударів

Кібератаки на критичну інфраструктуру перестали бути «новиною з IT-розділу» — за останні 15 років вони стали інструментом державної політики, корпоративного відкупу і війни. Від Stuxnet, який знищив іранські центрифуги фізично, до NotPetya, який знищив бухгалтерію половини українських підприємств за вісім хвилин — періметр того, що називається «кіберзлочином», розширився до меж національної безпеки. Ця pillar-стаття зводить хронологію великих ударів за 2010-2026: хто атакував, що отримав, скільки коштувало, кого реально покарали. Без бази даних з іменами і сумами не зрозуміти, де закінчується «хакерство» і починається державна доктрина.

Окрема важлива теза цього розслідування: з 15 найбільших атак 2010-2026 років жодна не призвела до екстрадиції основного виконавця. Російські, північнокорейські, іранські та китайські оператори або не залишали країну, або їхні країни не видають своїх. Західні корпорації, які стали жертвами, у переважній більшості заплатили викуп — таємно, у криптовалюті, через посередників. Страхові компанії покривали платежі. А держави, попри гучні заяви, рідко доводили справу до арештів. Це і робить кіберзлочин найбільш прибутковою індустрією XXI століття — з рентабельністю, недосяжною для торгівлі наркотиками.

2010 — Stuxnet: момент, коли софт став зброєю

Червоточина Stuxnet, відкрита у червні 2010 білоруським аналітиком Сергієм Уласіним з компанії VirusBlokAda, була першою задокументованою кіберзброєю, що пошкоджувала фізичне обладнання. Її ціль — програмовані логічні контролери Siemens SIMATIC S7-300, які керували центрифугами для збагачення урану на іранському заводі Natanz. Stuxnet вмикав центрифуги на критично високих обертах, після чого записував у журнал «нормальну» швидкість — оператори бачили, що все ок, поки обладнання не виходило з ладу.

Збитки Ірану: приблизно 1000 центрифуг Р-1 знищено з парку 8700-9000 (зростання операційного парку центрифуг затрималося на 18-24 місяці, за оцінками Інституту науки і міжнародної безпеки). Автори: офіційно неназвано, але звіти Девіда Сангера у NYT і пізніше книга «Confront and Conceal» прямо вказали на спільну операцію АНБ США і ізраїльського підрозділу 8200. Кодова назва — Operation Olympic Games. Покарання: жодного — атака класифікувалася як «легітимна операція національної безпеки».

Stuxnet встановив прецедент: ядерну установку суверенної держави знищили без жодного пострілу, без офіційної декларації війни, без відкритого визнання авторства. З 2010 року всі великі держави почали будувати кіберкомандування. У 2017 році США виокремили U.S. Cyber Command в окрему четверту субкомандування Минобороны (status: Unified Combatant Command). Російське «Главное управление специальных программ» (бывшее Подразделение 26165 ГРУ) масштабувало штат у 4-5 разів. Іран, попри роль жертви, до 2020 року створив окремий APT-кластер «Charming Kitten» / «Mint Sandstorm», який вже у 2024 атакував кампанію Дональда Трампа.

2014 — Sony Pictures: коли держава помстилася за комедію

24 листопада 2014 року хакерська група «Guardians of Peace» зашифрувала і виклала понад 100 TB даних студії Sony Pictures Entertainment. Витокли особисті медичні записи акторів, переписки керівників (Емі Паскал, Скотт Рудін), п’ять ненайменованих фільмів, нерозкриті фінансові звіти. Триггером була комедія «The Interview» з Сетом Рогеном і Джеймсом Франко — про вигадану спробу вбивства Кім Чен Ина.

Автори: ФБР офіційно атрибутувало атаку північнокорейському Bureau 121 (також відомому як Lazarus Group). У 2018 році Мін’юст США оголосив звинувачення проти конкретного агента — Пак Чин Хьок. Він з 2026 року вільно живе у Пхеньяні, без жодного шансу на екстрадицію. Збитки Sony: $35 млн прямих витрат на відновлення IT-інфраструктури плюс орієнтовно $100 млн позаконтрактних виплат і втраченого доходу. Прокатчики під загрозою бомб у кінотеатрах відмовилися від показу «The Interview», і Sony перенесла прем’єру у VOD.

2015-2016 — BlackEnergy і Industroyer: атаки на українську енергомережу

23 грудня 2015 року вперше в історії хакери дистанційно відключили електромережу для понад 225 000 споживачів у Івано-Франківській, Чернівецькій і Київській областях. Атака на «Прикарпаттяобленерго» тривала від 1 до 6 годин, потерпіли 30 підстанцій. Використовувалося шкідливе ПЗ BlackEnergy 3, написане групою Sandworm — частиною ГРУ (підрозділ 74455).

Рік пізніше, 17 грудня 2016 року, атаку повторили — на цей раз з новим інструментом Industroyer (CrashOverride), який міг автоматично відключати підстанції без втручання оператора-людини. Знято з мережі квартал Києва на 75 хвилин. У 2022 році Sandworm спробував Industroyer 2 проти Україненерго, але атаку зупинили — частково завдяки прямій допомозі компанії ESET і CERT-EU.

Автори: у жовтні 2020 Мін’юст США оголосив звинувачення проти шести офіцерів ГРУ — Юрія Сергійовича Андрієнка, Сергія Володимировича Детістова, Павла Валерійовича Фролова, Анатолія Сергійовича Ковальова, Артема Валерійовича Очиченка, Петра Ніколайовича Плискіна. Жоден не покинув Росію. Покарання: нуль; санкції OFAC проти ГРУ як організації.

2017 — WannaCry: $4 млрд за один уїк-енд

12-15 травня 2017 року криптолокер WannaCry заразив понад 200 000 комп’ютерів у 150 країнах через експлойт EternalBlue (CVE-2017-0144), вкрадений у АНБ і опублікований групою Shadow Brokers. Найгучніша жертва — Національна служба охорони здоров’я Великобританії (NHS), яка втратила доступ до медичних карт у 80 з 236 лікарняних трастів. 19 000 призначень скасовано, рятувальні машини перенаправлені до інших клінік.

Атака зупинена випадково — британський дослідник Маркус Гатчінс зареєстрував домен kill-switch за £8. Цей же Гатчінс пізніше був заарештований у США за зовсім інші злочини, пов’язані з банківським трояном Kronos (звільнений з обмеженням пересування у 2019).

Автори: ФБР і NCSC атрибутували WannaCry північнокорейській Lazarus Group. Збитки: приблизно $4 млрд глобально (за оцінкою Cyence). Покарання: нуль арештів. Викуп зібраний: лише $130 тис. у біткоінах — мало хто реально розшифрувався, бо ключ не працював навіть при сплаті.

2017 — NotPetya: $10 млрд глобальних збитків (рекорд)

27 червня 2017 року Україна стала «нульовим пацієнтом» наймасштабнішої кібератаки в історії. Шкідливе ПЗ NotPetya (також ExPetr, NyetYa) проникло через підроблене оновлення бухгалтерського ПЗ M.E.Doc — програми, яку використовує близько 80% українських юридичних осіб для подачі податкової звітності. За 8 хвилин після запуску заражений комп’ютер ставав непрацездатним — без можливості розшифрування навіть при сплаті викупу. NotPetya виявився не криптолокером, а wiper’ом, замаскованим під ransomware.

Жертви включали:

• Maersk (Данія, найбільший контейнерний оператор світу) — паралізовано 17 з 76 терміналів портів, прямі збитки $300 млн, повне переустановлення 4000 серверів і 45000 ПК.
• Merck (фармацевтика, США) — $870 млн збитків, втрата виробництва вакцини Gardasil на 6 тижнів.
• FedEx/TNT Express — $400 млн, припинення європейської операції на місяць.
• Mondelez (Oreo, Toblerone) — $188 млн.
• Saint-Gobain (Франція) — €250 млн.
• Reckitt Benckiser, Beiersdorf, WPP, Rosneft, Сбербанк, Чорнобильська АЕС (моніторингова система, не реактор), аеропорт Бориспіль, Київський метрополітен.

Загальні збитки: $10 млрд глобально (оцінка Білого дому 2018). Автори: Sandworm / ГРУ (того ж підрозділу 74455, що і BlackEnergy). У жовтні 2020 США додали NotPetya до того ж обвинувального документа на 6 офіцерів ГРУ. Покарання: нуль. Цей кейс став прецедентом у страховому праві — суди визнали, що NotPetya є «актом війни», що дозволило страховикам не платити. Mondelez судилася зі своєю страховою Zurich Insurance до 2023 року, і нарешті отримала виплату.

2020 — SolarWinds: атака на ланцюг постачання, яка читала пошту Пентагону

У грудні 2020 компанія FireEye (тепер Mandiant) виявила, що хакерська група APT29 / Cozy Bear (Служба зовнішньої розвідки Росії, СЗР) проникла в інфраструктуру SolarWinds — постачальника програми моніторингу мережі Orion. Підкладений шкідливий код був розповсюджений через офіційне оновлення Orion (Sunburst) і потрапив на серверах понад 18 000 організацій, серед яких:

• Мін’юст США (загалом 27 з 26 директоратів)
• Мінфін США
• Державний департамент
• Міністерство енергетики (NNSA — National Nuclear Security Administration)
• Міністерство торгівлі
• Microsoft (підтвердив, що хакери читали його внутрішній код)
• Intel, Cisco, VMware, Nvidia, Mimecast, FireEye
• Уряди Бельгії, Великобританії, Канади, Мексики, Іспанії, ОАЕ.

Тривалість непомітної присутності — 9 місяців (березень-грудень 2020). Збитки оцінити складно: «фактичних» збитків невелика сума, але вартість компрометації даних і пошти найвищого рівня американського уряду — у тризначних мільярдах за оцінками Mandiant. Покарання: SolarWinds виплатила $26 млн SEC за неправильне розкриття у 2023. Російські хакери — жодних арештів. У січні 2024 ті самі APT29 також зламали корпоративну пошту Microsoft, кідавши понад 100 топ-керівників (включно з CFO і CISO Microsoft).

2021 — Colonial Pipeline: коли газу не стало на півдні США

7 травня 2021 року російська ransomware-група DarkSide заразила корпоративну мережу Colonial Pipeline — найбільшого паливопроводу США, що доставляє 45% бензину і дизелю на Східному узбережжі. Компанія превентивно зупинила фізичну операцію труби на 6 днів. Результат — паніка на заправках від Флориди до Вірджинії, ціни підстрибнули на 10-15%, президент Байден оголосив надзвичайний стан у 17 штатах.

Colonial Pipeline заплатила $4,4 млн у біткоінах (75 BTC за тогочасним курсом). Ключ дешифрування виявився настільки повільним, що компанія все одно використала бекапи. ФБР пізніше відстежило адресу гаманця і повернуло 63,7 BTC ($2,3 млн). DarkSide після атаки оголосила про «припинення діяльності» — і перерозподілилася під брендом BlackMatter, потім ALPHV/BlackCat.

Виконавець: DarkSide (Росія, базовано у Москві). Покарання: нуль. Цей кейс перетворив ransomware на питання національної безпеки — Байден підписав указ Executive Order 14028 «Improving the Nation’s Cybersecurity», ввели TSA Pipeline Security Directive (вперше регулятор зобов’язав трубопровідних операторів звітувати про інциденти).

2021 — JBS Foods: $11 млн за 60% м’яса США

30 травня 2021 — лише через три тижні після Colonial Pipeline — російська група REvil/Sodinokibi зашифрувала IT-системи JBS USA, найбільшого м’ясопереробного гіганта світу. Зупинились усі 13 заводів у США (60% всього виробництва яловичини), плюс операції у Канаді та Австралії. Компанія заплатила $11 млн у біткоінах викупу (один з найбільших задокументованих платежів).

У січні 2022 ФСБ Росії, на тлі загострення з США, арештувала 14 учасників групи REvil — включно з Романом Морозовим, Іваном Кондратьєвим та іншими. Але справа була тимчасова: після початку повномасштабного вторгнення у лютому 2022 переговорний канал з ФБР закрився, і більшість арештованих вийшли на свободу.

2021 — Kaseya VSA: атака на ланцюг постачання MSP

2 липня 2021 та сама група REvil використала zero-day у програмі віддаленого керування Kaseya VSA, яку використовують MSP (Managed Service Providers). Через одну компрометацію вони змогли атакувати близько 1500 кінцевих клієнтів — переважно малі та середні підприємства, що користувалися послугами MSP. Шведська мережа супермаркетів Coop закрила 800 магазинів на 5 днів, бо касові термінали не працювали. Викуп вимагали $70 млн — рекорд на той час.

У листопаді 2021 ФБР отримало універсальний ключ розшифрування від невідомого джерела (припускали — від інсайдера REvil) і безкоштовно роздавало клієнтам Kaseya. Винуватець: Ярослав Васинський, 22-річний українець, заарештований у Польщі і екстрадований до США у березні 2022. У травні 2024 засуджений до 13 років і 7 місяців. Це єдиний задокументований випадок довгого терміну за ransomware у нашому списку — і то тільки тому, що Васинський був у країні, що видає.

2022-2023 — Royal Mail, Boeing, MGM Resorts: ALPHV/BlackCat робить мільярди

Royal Mail (Великобританія, січень 2023): група LockBit заблокувала міжнародні поштові відправлення на 6 тижнів. Британська пошта відмовилася платити викуп ($80 млн), а у відповідь у вільний доступ виклали 44 ГБ внутрішніх документів.

MGM Resorts (Лас-Вегас, вересень 2023): група ALPHV/BlackCat через соціальну інженерію (телефонний дзвінок до службистки IT-сапорта) отримала доступ до внутрішнього Active Directory. Готелі MGM працювали без комп’ютерних реєстрацій 10 днів. Збитки: $100 млн прямих + $10 млн на консультантів. MGM відмовилися платити.

Boeing (листопад 2023): LockBit оголосила про крадіжку конфіденційних даних з Boeing і вимагала викуп. Boeing офіційно не підтвердив платіж, але через місяць атакуючі видалили запис з сайту-листингу.

2024 — Change Healthcare: $22 млн і медичні картки 100 млн американців

21 лютого 2024 ALPHV/BlackCat атакував Change Healthcare — підрозділ UnitedHealth Group, який обробляє 50% медичних страхових заяв у США. Атака паралізувала систему оплати медичних послуг у тисячах американських клінік на понад 30 днів. Деякі дрібні приватні клініки збанкротували без оборотного капіталу.

UnitedHealth заплатив $22 млн викупу ALPHV. Атакуючі потім розкололи групу і вкрали ці гроші у власного «філіала», який власне зламав Change Healthcare. Філіал відразу опублікував викрадені дані. Розкриття: CEO UnitedHealth Ендрю Вітті свідчив перед Конгресом у травні 2024, що дані близько 100 млн пацієнтів були вкрадені — це найбільша медична компрометація в історії США. Втрати компанії на 2025 рік — $2,5 млрд.

2025-2026 — Salt Typhoon, MOVEit та хвиля китайських атак

Salt Typhoon — кодова назва китайського APT-кластера (Міністерство державної безпеки КНР), який з 2022 по 2025 проник в 9 найбільших телеком-операторів США: Verizon, AT&T, T-Mobile, Lumen, Charter Communications та інші. Хакери отримали доступ до систем перехоплення СІ-ПОРЯ (CALEA) — тобто до тих самих систем, через які ФБР і АНБ ведуть «легальне» прослуховування. Це означало, що китайська розвідка читала те, що читало ФБР. Перехоплення розмов кампанії Трампа і Венса у вересні-жовтні 2024 підтверджено офіційно.

На 17 травня 2026 розслідування Salt Typhoon триває; CISA та FCC оголосили нові обов’язкові вимоги до телеком-операторів (Cybersecurity Reporting Rule). Реакція Китаю: офіційно — «фабрикація»; на практиці — атаки продовжуються через нові інфраструктури.

MOVEit Transfer (2023-2024 хвиля): група Clop використала zero-day (CVE-2023-34362) у програмі MOVEit Transfer від Progress Software. Скомпрометували понад 2700 організацій і вкрали дані близько 95 млн осіб. Серед жертв — British Airways, BBC, уряд Великобританії (через підрядника Zellis), Shell, університетські системи США. Загальні збитки оцінюються у $10-15 млрд глобально.

Промислова статистика: скільки і кому платять

За даними Chainalysis (2025):

• 2023: $1,1 млрд викупів сплачено публічно
• 2024: $813 млн (зниження через арешт LockBit і ALPHV)
• 2025: $1,3 млрд (нові групи, нові філіали)
• 2026 (прогноз CrowdStrike): понад $1,8 млрд

Середній викуп зріс з $5 000 у 2018 до $2,8 млн у 2025 (за даними Coveware). 60% сплат — у криптовалюті Monero (анонімна), решта Bitcoin або USDT. Найбільший задокументований платіж — $75 млн (Dark Angels, 2024, корпорація залишилась неназваною за умовами NDA).

Що з покаранням: реальна статистика 2010-2026

Серед усіх атак нашого списку:

• Засуджених до тюремного терміну операторів — 4 особи (Васинський — 13,7 років; декілька членів REvil у РФ — згодом вийшли; кілька членів LockBit у листопаді 2024).
• Заочно засуджених — кілька десятків (більшість росіян, північнокорейців, китайців).
• Реально екстрадованих з-за кордону — 1 (Васинський з Польщі).
• Корпоративних викупів повернуто ФБР — $2,3 млн (Colonial Pipeline), близько $1,4 млн з ALPHV (вилучено у 2023).
• Закриття великих груп — REvil (закрита 2022 ФСБ і пізніше ребрендована), LockBit (Operation Cronos, лютий 2024 — взяті інфраструктура і кілька членів), ALPHV/BlackCat (грудень 2023, операція Mantis).

Урок: держави, які приймають ransomware-оператора як «свого», роблять його практично недосяжним для західного правосуддя. Цей геополітичний феномен — головна причина, чому індустрія продовжує процвітати.

Що робити: захист критичної інфраструктури 2026

За підсумками всіх атак експерти CISA, ENISA і CERT-EU сформували мінімальний набір вимог для організацій з критичною інфраструктурою:

• Сегментація OT-IT — фізичне розділення мережі управління технологією від офісної IT. Атака на бухгалтерію не повинна торкатися ПЛК.
• Офлайн-резервне копіювання — 3-2-1 правило: 3 копії, на 2 різних носіях, 1 з яких офлайн.
• Регулярні зміни паролів і MFA на всіх адмінських акаунтах. Паролі по-замовчуванню — основна точка входу 80% атак.
• Patch management — критичні CVE мають бути закриті у 24 години (це норма ENISA з 2024).
• Threat intelligence sharing — приєднання до ISACs (Information Sharing and Analysis Centers) у своїй галузі.
• Tabletop exercises — мінімум 2 рази на рік симуляція атаки з керівництвом.

Для звичайних громадян, які працюють у компаніях з критичною інфраструктурою: не клікайте на фішинг, не використовуйте робочі акаунти для особистих сервісів, звітуйте про дивну поведінку. Більшість атак починається з однієї людини, яка ввела свій пароль не туди, куди треба.

Внутрішні зв’язки та оновлення pillar

Ця pillar-сторінка пов’язана з нашими розслідуваннями про війну за бекдори у шифруванні, про недавню атаку ShinyHunters на Canvas Instructure, про китайське шпигунство у США 2018-2026, про архітектуру цифрового нагляду 2026 і про військових підрядників Кремнієвої долини. Pillar буде оновлюватися з кожним наступним великим інцидентом.

Останнє оновлення: 17 травня 2026. Тренди на спостереження: розширення Salt Typhoon на нові телеком-сегменти, виникнення нових ransomware-груп після удару Cronos по LockBit, посилення державного регулювання у ЄС (NIS2 directive), реакція страхового ринку на «акт війни»-визначення.

• Share on Bluesky
• Share on Facebook
• Share on LinkedIn
• Email this Page
• Print this Page
• Share on Reddit
• Share on Tumblr
• Share on WhatsApp
• Share on Viber
• Share on Threads
• Share on Telegram
• Share on X

Незалежні новини від News Group – Дякує Вам за підтримку та активність, ми цінуємо кожного, та хвилюємось за Вас, якщо ви бажаєте підтримати наш проєкт або додати пропозицію.

Для звʼязку переходьте за посиланнями:

• Mastodon
• Bluesky
• LinkedIn
• X

VIR.GROUP is available on Google Play VIR.GROUP is available on the App Store

Наша захищена Мережа Mastadon