В «Аэрофлоте» остановлены полеты. Хакеры заявили об уничтожении ИТ-инфраструктуры авиакомпании

Сотрудники компании «Аэрофлот» 28 июля 2025 г. сообщили о сбое в информационной системе, из-за чего были задержаны или отменены сотня рейсов по всей России. Несколько хакерских группировок Silent Crow и «Киберпартизаны BY» уже заявили, что они якобы внедрились в корпоративную сеть «Аэрофлота», скопировали данные и уничтожили внутреннюю ИТ-инфраструктуру авиакомпании. Они также сообщили, что на протяжении года имели доступ к корпоративной сети авиакомпании. Несмотря на заявления хакеров о полном уничтожении ИТ-инфраструктуры «Аэрофлота», регистрация на большинство рейсов продолжается в штатном режиме.

Взлом российской авиакомпании
28 июля 2025 г. представители «Аэрофлота» сообщили о сбое в информационной системе, который привел к отменам и задержкам рейсов, пишет «Коммерсант». Хакеры из группировок Silent Crow и «Киберпартизаны BY» взяли на себя ответственность за взлом систем «Аэрофлота». Злоумышленники якобы внедрилась в корпоративную сеть, скопировали данные и уничтожила внутреннюю ИТ-инфраструктуру авиакомпании.

Хакеры утверждают, что на протяжении года (т.е. с июля 2024 г.) находились внутри корпоративной сети «Аэрофлота». В результате якобы уничтожили около 7 тыс. серверов — физических и виртуальных. Хакеры рассказали, что заполучили базы данных (БД) истории перелетов, скомпрометировали все критические корпоративные системы, получили контроль над персональными компьютерами сотрудников, включая руководство, а также «скопировали данные с серверов прослушки» и из систем наблюдения и контроля за персоналом.

Объем полученной информации хакеры оценили в 12 ТБ баз данных (БД). «Все эти ресурсы теперь недоступны или уничтожены, восстановление будет требовать, возможно, десятки миллионов долларов. Ущерб — стратегический», — об этом в Telegram-канале Silent Crow опубликовали сами хакеры.

«Аэрофлот»
Хакеры взяли на себя ответственность за взлом систем «Аэрофлота», они на протяжении года имели доступ к корпоративной сети авиакомпании
Русскоязычные хакерские группировки Silent Crow и «Киберпартизаны BY» уже не впервые берут на себя ответственность за кибератаки на российские и белорусские государственные ИТ-системы. В Silent Crow утверждают, что атаковали свыше ста крупнейших компаний. При этом хакеры и в 2025 г. не перечисляют названия этих компаний и страны принадлежности. Группировка «Киберпартизаны BY» известна с 2020 г. и изначально была сформирована противниками президента Белоруссии Александра Лукашенко. После 2022 г. хакеры начали активно атаковать российские цели, включая госучреждения и промышленные предприятия.

На фоне отмены рейсов из-за сбоя в ИТ-системе акции «Аэрофлота» упали почти на 4%. По состоянию на 11:38 по московскому времени они торговались на Московской бирже (Мосбиржа) по 56,8 руб. за штуку. На закрытии торгов 27 июля 2025 г. стоимость акций составляла 58,91 руб.

Несмотря на заявления хакеров о полном уничтожении ИТ-инфраструктуры «Аэрофлота», регистрация на большинство рейсов продолжается в штатном режиме, идет регистрация и посадка. Специалисты по информационной безопасности (ИБ) уже работают над устранением неполадок, заверили в «Аэрофлоте».

«Аэрофлот» — крупнейшая авиационная группа России, в состав которой входят авиакомпании «Аэрофлот», «Россия» и «Победа». В 2024 г. эти три компании перевезли 55,3 млн пассажиров, а их доля на российском рынке авиаперевозок составляла 42,3%. По состоянию на 2024 г. маршрутная сеть авиакомпаний «Аэрофлот» и «Россия» насчитывала 248 регулярных направлений, тогда как сеть «Победы» охватывала 94 направления.

Со слов ведущего аналитика отдела ИБ-мониторинга «Спикател» Алексея Козлова, одна из возможных причин — недостаточно сильный контроль доступа и внутренняя безопасность. Речь прежде всего про мониторинг действий инсайдеров, сегментацию сети и централизованные ИТ-системы управления. Это могло позволить атакующим оставаться незаметными месяцами. Также важна защита от APT-групп: нужны регулярные аудиты, контроль на уровне поведения пользователей, многофакторная аутентификация, мониторинг привилегированных действий, ограничение прав и анализ команд в реальном времени. «В среднем восстановление после масштабной кибератаки, как мы знаем уже по ситуациям c другими крупными российскими компаниями, может занять от нескольких недель до шести месяцев: один–два месяца уходит на восстановление критических систем, остальное — на настройку защиты, аудит, пересмотр процессов и возврат доверия клиентов. Полная стабилизация может затянуться до года, если ИТ-инфраструктура разрушена и резервные копии недоступны», — добавил он.