Загрузка...
Заказать звонок

Самый громкий киберинцидент 2025: что случилось с «Аэрофлотом» и какие выводы нужно сделать уже сегодня

28 июля 2025 года произошла крупнейшая кибератака на Аэрофлот — национального авиаперевозчика. Этот инцидент стал тревожным сигналом для всего бизнеса.

Кибератака на Аэрофлот 2025 — последствия

28 июля 2025 года крупнейшая российская авиакомпания «Аэрофлот» столкнулась с масштабным сбоем в своей IT-инфраструктуре. За этим сбоем, как выяснилось, стоит мощнейшая кибератака, ответственность за которую взяли хакерские группировки Silent Crow и Киберпартизаны BY. Что произошло, как это сделали, и как защитить свой бизнес? Разбираем по порядку.

Что произошло?

🔻 По заявлениям хакеров:

Они находились в инфраструктуре «Аэрофлота» более года, методично развивая доступ.

Уничтожено около 7 000 физических и виртуальных серверов.

Похищено более 20 ТБ данных, включая:

  • Историю перелётов;
  • Содержимое корпоративной почты (Microsoft Exchange);
  • Документы из CRM, ERP, 1С, DLP и других систем;
  • Аудиозаписи и видео с внутренних коммуникаций;
  • Доступ к компьютерам сотрудников, включая топ-менеджмент.
Самый громкий киберинцидент 2025: что случилось с «Аэрофлотом» и какие выводы нужно сделать уже сегодня, изображение №2

📉 Последствия:

  • Отменены 42 пары рейсов по России и за её пределами, включая направления в Астрахань, Грозный, Екатеринбург, Ереван, Казань, Калининград, Красноярск, Махачкалу, Минеральные Воды и Минск.
  • Акции «Аэрофлота» упали на 3,7% на Московской бирже.
  • Предполагаемый ущерб — десятки миллионов долларов, включая простои, затраты на восстановление и репутационные потери.

🕵 Кто атаковал?

За атакой стоят две известные хакерские группировки, каждая со своими целями и методами:

  • 🦅 Silent Crow
    Хактивистская группировка, предположительно связанная с русскоязычным киберпространством. Известна атаками на крупные компании и госструктуры, такие как «Ростелеком», «Росреестр», «Киа Россия и СНГ». Их подход — APT (Advanced Persistent Threat): долгое, незаметное присутствие в сети жертвы, сбор данных и разрушительные действия на финальном этапе. Они используют кастомное вредоносное ПО, дипфейки и социальную инженерию.
  • 🐍 Киберпартизаны BY
    Белорусская хактивистская группа, созданная в 2020 году. Признаны в Беларуси экстремистской организацией. Их цель — подрыв государственных структур. Их методы включают взлом баз данных, использование шифровальщиков и публикацию похищенных данных для медийного эффекта. В атаке на «Аэрофлот» они, вероятно, обеспечивали аналитическую поддержку и координацию.

❗ Совместная работа: Атака на «Аэрофлот» была спланирована за год, велась незаметно, а активная фаза заняла всего несколько часов, полностью разрушив цифровую инфраструктуру компании.

⏱ Как это произошло: хронология атаки

📆 Весна 2024
Хакеры начали подготовку: анализ инфраструктуры «Аэрофлота» с помощью открытых источников (OSINT), изучение уязвимостей и выбор точек входа.

📩 Июнь 2024
Первоначальное проникновение, вероятно, через фишинговое письмо сотруднику с вредоносным вложением, замаскированным под служебный документ. Это дало доступ к внутренней сети.

🧬 Июнь 2024 – июль 2025

  • Установка бэкдоров, сбор учетных данных, расширение привилегий до уровня ядра инфраструктуры (Tier0).
  • Хакеры использовали легитимные учетные записи, что позволило обойти антивирусы и сигнатурный анализ.
  • Компрометация ключевых систем: Sabre (бронирование), 1С (финансы), Microsoft Exchange (почта), CRM и системы видеонаблюдения.

💥 22–28 июля 2025

  • Активная фаза: запуск wiper-атаки (вредоносное ПО для уничтожения данных), шифрование серверов, удаление резервных копий.
  • Параллельно — публикация заявлений в Telegram и других каналах, включая лозунги и угрозы выложить похищенные данные.
  • Итог: сбои в онлайн-регистрации, отмена рейсов, отказ внутренних сервисов, утечка данных пассажиров и сотрудников.

📌 Параллели: это уже было, и станет только чаще

Кибератаки на крупные компании — не новость. Атака на «Аэрофлот» имеет сходство с другими громкими инцидентами:

  • 2021, Colonial Pipeline (США)
    Атака шифровальщиком парализовала крупнейший трубопровод Восточного побережья. Причина: незащищённый VPN-доступ. Ущерб: $4,4 млн выкупа и недели простоя.
  • 2020, SolarWinds (глобально)
    Хакеры через заражённые обновления ПО получили доступ к сетям госструктур и корпораций по всему миру. Ущерб: миллиарды долларов и компрометация тысяч организаций.
  • 2023, ITA Airways (Италия)
    Шифровальщик нарушил работу систем бронирования, что привело к задержкам и отменам рейсов. Причина: уязвимости в стороннем ПО.

Эти случаи показывают: атаки готовятся месяцами, эксплуатируют слабые места (устаревшее ПО, человеческий фактор) и наносят катастрофический ущерб, если защита не выстроена комплексно.

⚙ Как это сделали? Технические уязвимости

Точные методы атаки на «Аэрофлот» не раскрыты, но вероятные уязвимости включают:

  • Microsoft SharePoint: Уязвимости CVE-2025-49704/49706 (удалённое выполнение кода и спуфинг), активно эксплуатируемые в 2025 году, могли использоваться для внедрения веб-оболочек.
  • Microsoft Exchange: Устаревшие уязвимости (ProxyShell, ProxyLogon) или слабая аутентификация позволили скомпрометировать корпоративную почту.
  • Sabre: Возможные уязвимости в API систем бронирования или некорректная санитизация ввода.
  • 1С и IoT: Устаревшее ПО и слабозащищённые устройства (например, камеры видеонаблюдения) стали точками входа.
  • Социальная инженерия: Фишинг или spear-phishing для компрометации учётных данных сотрудников, включая топ-менеджмент.
  • Wiper-атака: Использование вредоносного ПО для уничтожения данных на 7 000 серверов, что указывает на подготовленную и разрушительную атаку.

✅ Как не оказаться в той же ситуации

Ситуация с «Аэрофлотом» — это не просто новость, а сигнал для всех компаний. Вот что нужно сделать уже сегодня:

  1. Забудьте про «просто антивирус»
    Современные атаки обходят сигнатурные решения. Нужны многоуровневые системы: EDR, XDR, SIEM, контроль доступа и поведенческий анализ.
  2. Пересмотрите модель угроз
    Ваша инфраструктура — не крепость. Сотрудники работают удалённо, данные хранятся в облаке, подрядчики получают доступ. Внедряйте Zero Trust: «не доверяй, проверяй всегда».
  3. Обучайте персонал
    Фишинг — причина 70% успешных атак. Регулярные тренинги и симуляции атак помогут сотрудникам распознавать угрозы.
  4. Изолируйте резервные копии
    Храните бэкапы в оффлайн-режиме и регулярно проверяйте их восстановление. Один тест в квартал спасёт вас от потери данных.
  5. Доверяйте экспертам
    Кибербезопасность — это не софт, а процесс. Нужна стратегия, мониторинг и сопровождение. Обратитесь к профессионалам, пока хакеры не обратились к вам.

💡 Наши услуги

Наша команда экспертов по информационной безопасности поможет вашему бизнесу:

  • Проведём аудит IT-систем на наличие уязвимостей.
  • Настроим многоуровневую защиту для критически важных систем.
  • Внедрим мониторинг и оповещение о вторжениях.
  • Обучим сотрудников безопасной работе с данными.
  • Поможем перейти на российские решения в условиях санкций.
  • Разработаем план восстановления после инцидентов.

🧩 Итог

Атака на «Аэрофлот» — это не случайность, а закономерность в мире, где киберугрозы становятся всё изощрённее. Silent Crow и Киберпартизаны BY показали, что даже крупнейшие компании уязвимы, если защита не поспевает за угрозами. Это ваш шанс действовать на опережение.

🕵‍♂️ Мы следим за развитием истории.
🧠 Анализируем новые угрозы.
💼 Работаем, чтобы ваш бизнес был защищён.

📲 Хотите быть уверены в защите? Напишите — мы позаботимся о вашем ИБ.

fd-telecom.ru

FD | Системный интегратор
ИТ-инфраструктура, Информационная безопасность, ИТ-поддержка

Вверх