Киберпреступники взломали и повредили ИТ-инфраструктуру сети магазинов по продаже алкоголя «Винлаб», принадлежащей группе компаний Novabev Group. В результате действий хакеров из строя вышла часть сервисов и инструментов группы.
Факт взлома скрывался в течение двух дней. Атака произошла 14 июля 2025 г., но лишь 16 июля 2025 г. на сайте Novabev Group появилось официальное заявление по этому поводу.
«14 июля (2025 г.) группа подверглась беспрецедентной кибератаке – масштабной и скоординированной акции, осуществленной хакерами. В результате инцидента была временно нарушена работоспособность части ИТ-инфраструктуры, что отразилось на доступности некоторых сервисов и инструментов группы и сети «ВинЛаб»», – сказано в официальном заявлении.
В Novabev Group отдельно отметили, что хакеры вышли на связь и потребовали выкуп.
«Компания придерживается принципиальной позиции неприятия любых форм взаимодействия с киберпреступниками и категорически отказывается от выполнения их требований», – указано в заявлении.
Судя по всему, атака на ИТ-инфраструктуру Novabev Group была действительно крупномасштабной, потому что сеть «Винлаб» – не единственная, кого она зацепила. Как пишут «Ведомости», в результате этой атаки прекращены отгрузки водки марок Beluga и «Беленькая», которую также выпускает Novabev Group.
Издание со ссылкой на менеджеров торговых розничных сетей сообщает, что произведенная водка этих марок не отгружается «как минимум второй день из-за технического сбоя». Также 15 июля 2025 г. в одном из отраслевых каналов для рестораторов появилось сообщение, что Novabev Group временно приостановила оформление заказов и платежные операции.
По прогнозам директора департамента расследований T.Hunter Игоря Бедерова, простой в работе Novabev Group на фоне хакерской атаки может занять от 7 до 14 дней. В лучшем случае это затянется на три-пять дней, сообщил он изданию.
По его подсчетам, одна только сеть «Винлаб» понесет убытки в размере 1,5 млрд руб. Также над Novabev Group теперь висит угроза оборотного штрафа за утечку персональных данных. Если она будет обнаружена, то компании придется заплатить в пределах 860 млн руб., подсчитал Бедеров.
Шанс на обнаружение такой утечки есть, поскольку ранее «Винлаб» уже допускала ее. В середине 2024 г. у нее утекла база на 9 млн клиентов.
Генеральный директор агентства «Infoline-аналитика» Михаил Бурмистров, напротив, полагает, что суммарные потери «Винлаба» в итоге не дотянут даже 0,8% от ее квартальной выручки. Он сообщил изданию, что это около 170 млн руб. – если компания устранит последствия взлома быстро, то его последствия будут компенсированы в течение июля-августа 2025 г., прогнозирует Бурмистров.
Источник Telegram-канала «Неэлектронная коммерция» привел совсем другие цифры. По его данным, всего лишь один день простоя обходится Novabev Group в 100 млн руб. Также сотрудники канала нашли на HeadHunter вакансию руководителя технологического направления (СТО) по электронной коммерции в «Винлаб». Размер зарплаты вакансии не указан, а опубликована она была 7 июля 2025 г., за неделю до взлома.
ИБ-специалист Алексей Лукацкий в своем Telegram-канале «Пост Лукацкого» написал, что остановка работы сети «Винлаб» обрушила акции компании 5%.
Он отметил также, что в ноябре 2023 г. в Telegram-канале проукраинской хакерской группировки C.A.S. был опубликован пост о взломе инфраструктуры Novabev Group силами хакеров из группы WASSER. В подтверждение этих слов к посту были приложены скриншоты почтовой переписки и персональных данных и т.п.
Эксперт также обратил внимание на тот факт, что в заявлении компании говорится, что расследованием инцидента занимается именно ИТ-служба, а не ИБ-специалисты. Он предположил, что у Novabev Group нет своего ИБ-отдела.
Лукацкий тоже считает, что день простоя обходится Novabev Group примерно в 100 млн руб.
«При этом оценка бюджета ИБ для «ВинЛаб» оценивается в 100-150 млн руб. в год. То есть даже поверхностный анализ убытков показывает, что выгоднее было инвестировать в ИБ… Однако если сравнивать с потенциальными потерями, то ситуация становится ещё более очевидной. Один день полного простоя бизнеса обходится компании минимум в 200–250 млн рублей недополученной выручки, не считая косвенных последствий — падения доверия, роста оттока клиентов и снижения LTV. При этом изменение поведенческой привычки потребителя — особенно в сфере алкомаркетов с высокой конкуренцией — способно иметь долгосрочные последствия: пользователь может просто переключиться на более надёжного конкурента.
Кроме репутационных и операционных рисков, важно учитывать и другие аспекты информационной безопасности в ритейле. Речь идёт, например, о защите от мошенничества с бонусными картами, нецелевого использования промокодов и продажи акционных предложений через теневые каналы. При недостаточной защищённости IT-систем эти механизмы легко эксплуатируются третьими лицами, что приводит к прямому снижению маржинальности и искажению финансовых метрик по акциям и лояльности.
Дополнительный фактор давления — это и угроза штрафов за утечку персональных данных, которые в текущей регуляторной среде могут достигать десятков миллионов рублей. Таким образом, недоинвестированность в ИБ становится прямым источником будущих убытков.
Хочется надеяться, что инцидент с «ВинЛаб» станет для всей отрасли сигналом к действию. Расходы на информационную безопасность — это не абстрактные вложения, а страховой полис для всей бизнес-модели, который позволяет защитить не только данные, но и доверие клиентов, операционную устойчивость и финальную прибыльность бизнеса.».
Обновлено: Сайт торговой сети «Винлаб», принадлежащей алкогольной компании Novabev Group, частично возобновил работу в режиме каталога 21 июля, через неделю после кибератаки. Оформление онлайн-заказов по-прежнему остается недоступным. В этот же день открылись и магазины «Винлаба», однако к продаже доступен не весь ассортимент товаров. В частности, до сих пор остановлена продажа табачной продукции. Сотрудники торговых точек затруднились пояснить, в какой очередности происходит возобновление торговли и как скоро работа сети будет восстановлена в полном объеме.
С заботой о вашей безопасности, команда Origin Security
