Краткий обзор основных инцидентов в области промышленной кибербезопасности за первый квартал 2026 года

Теги по теме

автомобилестроение

коммунальные службы

логистика

обзор киберинцидентов

отказ IT-сервисов

отказ в операциях

отказ в производстве

пищевая промышленность

программы-вымогатели

производственный сектор

строительство

транспорт

утечка данных

утечка данных

цепочка поставок

электронная промышленность

энергетика

В первом квартале 2026 года жертвами был публично подтвержден 131 инцидент. Все эти инциденты включены в таблицу в конце обзора, а некоторые из них описаны подробно.

Общие сведения

Несколько действительно важных с точки зрения анализа ландшафта угроз инцидентов было обнародовано в этом квартале.

Сообщения об атаках на польскую критическую инфраструктуру, включая объекты традиционной и возобновляемой энергетики, в попытке добраться до систем автоматизированного управления, а также громкие заявления об атаках на объекты атомной энергетики, якобы возможных негативных последствий которых на функционирование объекта «удалось избежать», явно свидетельствуют о движении окна Овертона в опасном для человечества направлении.

Транспортная отрасль вновь продемонстрировала свою уязвимость к атакам на сервисы сторонних организаций, поддерживающих и выполняющих множество задач, без которых современная логистика уже не может обойтись. Неожиданным уязвимым звеном оказался вендор алкотестеров – отсутствие доступа к его онлайн-сервису калибровки оборудования не позволило многим водителям сесть за руль. Кибератаки на транспортные и логистические предприятия становятся особенно опасными с учетом событий за рамками киберпространства – в реальном мире, где, как это многим уже очевидно, запущен процесс разрушения глобальных логистических цепочек.

Атаки на медицинские организации и фармацевтические предприятия способны вызвать ограничения в доступности медикаментов и медицинских приборов и таким образом напрямую угрожают здоровью и жизни людей. Однако в сегодняшних реалиях соображения гуманности, по видимому, учитываются хакерами при выборе целей все реже.

Интересные сдвиги в ландшафте угроз, возможно, стоит ожидать и с технической точки зрения. Так, в одном из инцидентов злоумышленники уничтожили данные не только на рабочих станциях и серверах атакованной организации, но и на подключенных к корпоративным сервисам мобильных устройствах сотрудников (включая личные). Возможно, в скором будущем список частых типов целей пополнится и другим неожиданным оборудованием – как минимум для наиболее «креативных» команд вымогателей и хактивистов.

Атаки на АСУ

Энергетическая сеть Польши

Энергетика, производственный сектор | APT | Вайпер | Эксплуатация сетевых устройств

Министр энергетики Польши на пресс-конференции 13 января заявил, что в конце 2025 года были предприняты попытки кибератаки на энергетический сектор страны. Согласно сообщению на сайте правительства Польши от 15 января, были целенаправленно атакованы теплоэлектростанции, а также система управления энергией из возобновляемых источников, таких как ветряные турбины и фотоэлектрические станции. Каких-либо негативных последствий – дестабилизации национальной энергетической системы или повсеместного отключения электроэнергии – не было. Технические подробности инцидента описали исследователи ESET и CERT Polska, также детали вкратце приведены в нашем обзоре «APT- и финансовые атаки на промышленные организации в первом квартале 2026 года».

Попытка атаки на объект атомной энергетики

Национальный центр ядерных исследований Польши

Энергетика, производственный сектор

В заявлении от 12 марта Национальный центр ядерных исследований Польши сообщил о попытке кибератаки на свою ИТ-инфраструктуру. «Благодаря эффективным мерам безопасности и оперативному реагированию внутренних команд атаку удалось предотвратить, целостность систем не была нарушена. Все системы безопасности сработали в соответствии с процедурами, попытка атаки была пресечена, а принятые меры позволили немедленно защитить инфраструктуру и обеспечить непрерывность работы организации». Директор Национального центра ядерных исследований сообщил: «Ни производственные, ни операционные, ни исследовательские процессы не были нарушены, а ядерный реактор «Мария» стабильно и безопасно работал на полную мощность». Центр тесно сотрудничал с Национальным исследовательским институтом (NASK-PIB), Министерством цифровых технологий и лично вице-премьером и министром цифровизации Кшиштофом Гавковским, а также с Министерством энергетики и лично главой этого ведомства Милошем Мотыкой, чтобы обеспечить максимальный уровень безопасности критически важной инфраструктуры. Министр цифровизации сообщил телеканалу TVN24+, что первые данные о векторах атаки на центр свидетельствуют о причастности Ирана.

Серьезный сбой в обслуживании

Intoxalock

Автомобилестроение, производственный сектор | Отказ ИТ-систем и сервисов

Американская компания по производству автомобильных алкотестеров Intoxalock 16 марта сообщила на своем сайте о киберинциденте, который привел к остановке ее систем. Сами алкотестеры функционировали штатно, а вот работа онлайн-сервисов калибровки и связанные с ними операции в сервисных центрах были нарушены. В результате водители, чьи транспортные средства оснащены устройствами блокировки зажигания по решению суда, которое требует проходить тест на наличие алкоголя в крови перед запуском двигателя, не смогли завести свои автомобили. Ситуация, видимо, возникла из-за того, что алкотестерам Intoxalock необходима периодическая калибровка, а для этого нужно соединение с серверами компании. Водители, которые не смогли пройти тест из-за сбоя онлайн-сервиса калибровки и завести свои автомобили, оказались в затруднительном положении. Intoxalock предложила клиентам продлить срок обслуживания устройств на 10 дней, а также услуги эвакуатора в некоторых случаях. Также компания сообщила Cybernews, что для клиентов, которые запрашивали калибровку, разработано новое системное приложение, и оно было установлено на все калибровочные устройства. Эти меры были согласованы с государственными регулирующими органами для предоставления водителям временного решения на период восстановления систем. Intoxalock не объяснила, с какой кибератакой она столкнулась и получили ли злоумышленники доступ к каким-либо пользовательским данным. 22 марта компания опубликовала обновление, в котором сообщается, что ее системы возобновили работу, установка и калибровка устройств, а также поддержка сервисного центра снова стали доступны.

Владимирский хлебокомбинат

Пищевая промышленность, производственный сектор | Отказ ИТ-систем и сервисов

Одно из ведущих предприятий Владимирской области по производству хлебобулочных изделий пострадало в результате кибератаки – по информации местного СМИ, были нарушены логистические процессы. Владимирский хлебокомбинат сообщил, что в ночь на 25 января подвергся кибератаке, в результате которой была повреждена цифровая инфраструктура – вышли из строя офисные компьютеры, серверы, программы электронного документооборота и бухгалтерская система 1С. Несмотря на то, что производственное оборудование не пострадало – пекарни продолжили работать в штатном режиме, сбой в системах осложнил обработку заказов и отгрузку продукции. Жители региона, розничные магазины и поставщики продуктов питания в социальные учреждения сообщили о проблемах с наличием в торговых точках продукции Владимирского хлебокомбината. Крупные розничные сети подтвердили информацию о возникших сложностях, однако заявили, что дефицита хлеба в магазинах нет. Чтобы выполнять обязательства по поставкам, комбинат перевел весь офисный персонал в круглосуточный режим работы – оформление заказов и отгрузка хлебобулочных изделий осуществлялись в ручном режиме. На предприятии не назвали конкретные сроки окончательного восстановления цифровой инфраструктуры и принесли извинения партнерам и потребителям за доставленные неудобства.

Атаки, которые привели к нарушению операционной деятельности

Hazeldenes

Производственный сектор, пищевая промышленность | Отказ сервисов, нарушение операционной деятельности, утечка персональных данных | Шифровальщики

Кибератака на мясоперерабатывающий завод Hazeldenes в Австралии привела к дефициту куриной продукции в пабах и магазинах одного из штатов. Для выяснения причин атаки предприятие привлекло внешних специалистов по кибербезопасности. Представители розничной торговли и промышленности сообщили телеканалу ABC, что завод не выполнил часть заказов, поскольку не мог упаковать продукцию. Менеджер одного из оптовых поставщиков мяса заявил, что ему пришлось закупать куриное мясо у другого производителя, пока Hazeldenes был недоступен. Сотрудники Hazeldenes рассказали ABC, что неполадки с компьютерными системами возникли в период с 16 по 22 февраля, причем некоторые отметили проблемы со входом в систему, а также в работе компьютеров. Сотрудники сообщили, что к 19 февраля проблема усугубилась, и компания отключила Wi-Fi на всей территории завода в Локвуд-Саут. Некоторые клиенты выразили недовольство отсутствием подробных объяснений со стороны мясоперерабатывающего завода. В марте ответственность за атаку на Hazeldenes взяла на себя группа вымогателей DragonForce.

Мясоперерабатывающий завод Hazeldenes 12 марта опубликовал на своем сайте сообщение по итогам расследования киберинцидента. Предприятие подтвердило, что в результате атаки были украдены персональные данные, преимущественно архивная операционная и корпоративная информация. Компания также заявила, что злоумышленники распространяли в интернете данные, похищенные из ее инфраструктуры. 30 марта Hazeldenes сообщила, что производство полностью восстановлено и работает в штатном режиме.

Svealandstrafiken

Транспорт, логистика | Отказ сервисов, нарушение операционной деятельности

Шведская транспортная компания Svealandstrafiken 23 февраля подверглась мощной кибератаке – об этом сообщило местное новостное издание. Атака привела к серьезным сбоям в операционной деятельности компании, затронув цифровую инфраструктуру. О деталях атаки и ее последствиях для систем и данных не сообщалось. Расследование для оценки масштаба ущерба на момент публикации еще продолжалось.

Stryker

Производственный сектор | Отказ ИТ-систем и сервисов, нарушение операционной деятельности | Хактивизм

Американский производитель медицинских устройств и оборудования Stryker объявил 11 марта, что в результате кибератаки столкнулся с серьезным нарушением работы внутренней среды Microsoft. Компания не обнаружила признаков программ-вымогателей или наличия в сети вредоносного ПО и посчитала, что инцидент локализован. В тот же день она направила уведомление по форме 8-K в Комиссию по ценным бумагам и биржам США. Из документа следует, что инцидент стал причиной сбоев и ограничения доступа к некоторым информационным системам и бизнес-приложениям, отвечающим за операционные процессы и корпоративные задачи. 12 марта компания опубликовала на своем сайте обновление, сообщив, что инцидент вызвал перебои в обработке заказов, производстве и отгрузке. В обновлении от 15 марта компания заявила, что все производимые ею медицинские устройства безопасны в использовании, однако электронные системы заказов по-прежнему отключены, и клиентам нужно заказывать товар через торговых представителей.

Иранская хактивистская группа Handala (также известная как Handala Hack Team, Hatef, Hamsa) взяла на себя ответственность за эту атаку. В своем сообщении Handala заявила, что уничтожила информацию с порядка 200 000 систем, серверов и мобильных устройств Stryker, а также похитила 50 ТБ корпоративных данных. Атакующие также подменили страницу входа в корпоративную систему Entra, разместив на ней логотип Handala. Сотрудник Stryker сообщил BleepingComputer, что инцидент начался рано утром 11 марта, когда с устройств, зарегистрированных в корпоративной системе управления мобильными устройствами, была удалена информация. Он рассказал, что с личных телефонов коллег, которые использовали их для получения рабочего доступа, была удалена информация после того, как они перезагрузили свои устройства. Персоналу велели удалить с личных устройств корпоративный портал и приложения, включая Intune Company Portal, Teams и VPN-клиенты. Многие сотрудники сообщили, что атака нарушила доступ к внутренним сервисам и приложениям. Источник, знакомый с подробностями инцидента, также сообщил BleepingComputer, что злоумышленники использовали для удаления данных команду wipe в Intune, облачном решении управления конечными точками Microsoft. Они ввели эту команду после компрометации учетной записи администратора и создания новой учетной записи глобального администратора.

Порт Виго

Транспорт, логистика | Отказ ИТ-систем и сервисов, нарушение операционной деятельности | Шифровальщики

Администрацию порта Виго в Испании атаковали вымогатели – об этом сообщили местные СМИ. Инцидент, обнаруженный 24 марта в 5:45 утра, затронул серверы, используемые для управления грузовыми перевозками, веб-сайт порта и другие цифровые сервисы. Некоторые участки сети порта были отключены, из-за чего управлять грузоперевозками пришлось в ручном режиме. Президент администрации порта заявил, что операционные службы и сам порт работают без сбоя, однако программы будут недоступны до окончания всех проверок безопасности. Планируемая дата возобновления работы в штатном режиме не называлась.

Nova Biomedical

Производственный сектор | Нарушение операционной деятельности, утечка персональной информации

Американский производитель высокотехнологичных анализаторов крови, устройств для диагностики in vitro и клинического лабораторного оборудования, компания Nova Biomedical Corp. сообщила, что 22 июля 2025 года она подверглась сложной кибератаке, которая нарушила ее операционную деятельность. В ходе расследования Nova Biomedical Corp. выяснила, что неавторизованное лицо получило доступ к электронной инфраструктуре и внедрило вредоносное ПО. Кроме того, компания установила, что, возможно, была затронута персональная информация, позволяющая идентифицировать личность.

Инциденты в крупных организациях

Deutsche Bahn

Транспорт, логистика | Отказ ИТ-сервисов | DDoS

Государственная железнодорожная компания Германии Deutsche Bahn подверглась DDoS-атаке, которая началась 17 февраля и продолжалась до 18 февраля. В сообщении на сайте компании говорится, что атака осуществлялась волнами и имела значительные масштабы. В результате были нарушены работа информационных систем и билетной кассы Deutsche Bahn, включая веб-сайты и приложение DB Navigator. 18 февраля обе службы были восстановлены, хотя компания ввела временные ограничения на их работу. Deutsche Bahn опубликовала сообщение, в котором заявила, что не будет комментировать предположения о причинах атаки и находится в тесном контакте с федеральными властями.

AkzoNobel

Химическая промышленность, производственный сектор | Утечка данных | Шифровальщики

Нидерландский производитель красок и покрытий AkzoNobel в марте подтвердил изданию BleepingComputer, что злоумышленники взломали сеть одного из его объектов в США, после того как группа вымогателей Anubis взяла на себя ответственность за эту атаку. По словам представителя AkzoNobel, инцидент затронул только один объект в Соединенных Штатах и был локализован. Компания сделала все необходимое для уведомления и поддержки пострадавших сторон и сообщила о намерении тесно сотрудничать с соответствующими органами. Группа Anubis заявила, что похитила у AkzoNobel 170 ГБ данных (почти 170 000 файлов) и в доказательство опубликовала на своем сайте утечек скриншоты отдельных документов и список украденных файлов. Среди опубликованных данных – конфиденциальные соглашения с крупными клиентами, адреса электронной почты и номера телефонов, личная электронная переписка, сканы паспортов, документы по тестированию материалов и внутренние технические спецификации.

Delta Electronics

Электроника, производственный сектор | Отказ ИТ-систем, утечка персональных данных

Зарубежная дочерняя компания тайваньского производителя электроники Delta Electronics Inc. обнаружила подозрительные попытки входа в свои информационные системы – об этом говорится в уведомлении, опубликованном 10 февраля на портале Тайваньской фондовой биржи (TWSE). В ходе расследования было установлено, что некоторые системы дочерней компании подверглись кибератакам с риском утечки определенной коммерческой информации и персональных данных сотрудников. После обнаружения аномалии ИТ-департамент совместно с профессиональными консультантами по кибербезопасности провел комплексное расследование. Все пострадавшие системы дочерней компании прошли проверку безопасности и были полностью восстановлены без каких-либо последствий для операционной деятельности. Были усилены сетевой мониторинг и контроль доступа, а общая работа информационных систем оставалась безопасной и стабильной. Оценка показала, что инцидент не оказал существенного негативного влияния на деятельность компании.

LISI Group

Производственный сектор | Утечка персональных данных | Шифровальщики

Французский производитель сборочных решений и высокотехнологичных компонентов для аэрокосмической, автомобильной и медицинской отраслей LISI Group подтвердил, что стал жертвой кибератаки после того, как группа вымогателей Qilin заявила на сайте утечек о своей причастности к инциденту. По словам генерального директора LISI Group, утечка не была масштабной. Следователи подтвердили, что был похищен очень ограниченный объем данных, затронувший два второстепенных объекта. Согласно заявлению, ИТ-системы были полностью независимыми, и утечка не затронула объекты аэрокосмического и автомобильного подразделений. В компании заверили, что операционная деятельность не была нарушена, а инфраструктура не была скомпрометирована.

Исследователи Cybernews изучили образцы данных, которые Qilin опубликовала в доказательство своих заявлений об утечке. Эти образцы включали планы продаж и внутренние коммерческие документы, файлы с реквизитами банковских счетов, формы согласия сотрудников и соглашения о конфиденциальности, договоры поставки, документы, содержащие полные имена и контактные данные сотрудников.

Michelin

Автомобилестроение, производственный сектор | Утечка данных | Шифровальщики

Французский производитель шин Michelin подтвердил изданию SecurityWeek факт утечки данных в результате масштабной кампании, целью которой были организации, использующие решение Oracle E-Business Suite (EBS). Компания сообщила, что ее специалисты оперативно провели расследование и установили, что в ходе атаки была использована уязвимость нулевого дня в Oracle EBS. Компания подтвердила, что злоумышленники получили доступ к некоторым файлам, однако отметила, что инцидент затронул лишь небольшой, локальный объем данных, среди которых не было конфиденциальной или технической информации. Также компания отметила, что в атаке не использовались программы-вымогатели и инцидент никак не повлиял на глобальные системы. Однако ответственность за кампанию с использованием Oracle EBS, одной из жертв которой стал Michelin, взяла на себя группа вымогателей Clop.

Mazda Motor Corporation

Автомобилестроение, производственный сектор | Утечка персональных данных

Японская автомобильная компания Mazda Motor Corporation в марте сообщила, что в середине декабря 2025 года обнаружила следы несанкционированного внешнего доступа к системе управления складскими операциями, связанными с деталями, закупаемыми в Таиланде. В инциденте могли быть скомпрометированы персональные данные сотрудников компании, ее дочерних предприятий, а также деловых партнеров (всего 692 записи), а именно присвоенные компанией идентификаторы пользователей, имена, адреса электронной почты, названия компаний, идентификаторы деловых партнеров. Mazda Motor Corporation немедленно уведомила об инциденте Комиссию по защите персональной информации – независимое агентство при Кабинете министров Японии, приняла соответствующие меры безопасности и провела расследование совместно с внешней специализированной организацией.

Ericsson Inc.

Производственный сектор | Утечка персональных данных

Американская дочерняя компания международной телекоммуникационной корпорации Ericsson Inc. в марте подтвердила инцидент, который затронул персональные данные тысяч человек. В Ericsson Inc. заявили, что утечка произошла у стороннего поставщика услуг, который обнаружил несанкционированный доступ к данным в своих системах 28 апреля 2025 года. Этот провайдер (его название не упоминается) провел расследование и установил, что файлы с персональными данными могли быть доступны в период с 17 по 22 апреля 2025 года. Набор данных, которые, вероятно, затронул этот инцидент, не был одинаковым для всех людей, но мог включать имя и фамилию, а также номер социального страхования.

Приложение. Полный список подтвержденных инцидентов