Кейс взлом Аэрофлота: уроки, финансовые потери и анализ ситуаций

28 июля 2025 года у меня зазвонил телефон — короткий, сухой звонок. «Вик, слышала про Аэрофлот?» — голос на другом конце звучал, как тревожный гудок системы. Через пару минут всё вокруг наполнилось новостями: крупнейшая российская авиакомпания — под атакой. IT-инфраструктура легла. Отменены десятки рейсов. Кто-то стёр 7000 серверов. Это был не сбой. Это была операция.

Каждая компания, особенно в транспортной отрасли, держится на инфраструктуре. Если отключить систему бронирования, всё встанет. Именно это и случилось. А теперь — разберём, как.

Кейс Аэрофлот: анализ кибератаки

Атака пришлась на утро 28 июля. Две группировки — Silent Crow (пока не является, но скорее всего, будет являться экстремистской организацией на территории РФ) «Киберпартизаны BY» (является экстремистской организацией на территории РБ) — признались в организации. По их словам, они внедрялись в сеть почти год — тихо, незаметно, шаг за шагом разбирая «Аэрофлот» изнутри. Украдены 12 терабайт данных: история перелётов, персональные файлы, аудиозаписи. Глубоко. И больно.

Генпрокуратура завела дело — но дело формальное. Больше пятидесяти рейсов сорвано в первые часы. Пассажиры в панике. Никакой информации. Ни один экран не работал. Мы все привыкли к комфорту IT. А когда его внезапно не становится — темно.

Уничтожение 7000 серверов

Семь тысяч серверов. Это цифра звучит как артобстрел. По сути, был. Вредоносное ПО с механизмом wiping — удалённое стирание — прошлось по критическим точкам: резервирование, базы данных, внутренняя сеть. Полная тишина. Какой бы план «Б» ни существовал — его не оказалось.

Я вспомнила, как в 2023 году «Аэрофлот» подписывал соглашения с «Ростелекомом» и «РТК-Солар» — что-то о кибербезопасности. Тогда это казалось сильным ходом. Но защита без сегментации сети — как двери без запора.

Простои рейсов и их последствия

Почти пятьдесят отменённых рейсов. Первые часы — хаос. На табло ничего. Внутренние каналы не работают. Не улететь, не позвонить, не узнать.

В Шереметьево я увидела мужчину, стоящего с табличкой: «Рейс на Владивосток. Кто со мной — ищем автобус». Даже сотрудники не знали, что говорить. Кто-то просто сидел и ждал. Кто-то ругался. Никто не летел.

А для самой компании — это удар не только по логистике, но и по доверию. Репутация — тонкая льдинка. Один трещащий звук — и всё уходит под лёд.

Финансовый ущерб

Суммы никто не называет. Но цифры говорят сами за себя. Восстановление инфраструктуры, компенсации пассажирам, простой. Сотни миллионов рублей — и это только нижний порог.

А теперь добавим расходы на аудит, на новые системы безопасности, на судебные процессы. Такие атаки могут заморозить развитие компании на полгода — минимум. Это если повезёт.

Уроки, извлечённые из инцидента

Первый — ты никогда не готов. Даже если есть договор с лучшими. Даже если тебя называют флагманом. Особенно — если уже давно никто не менял пароли руководителей, как это случилось в этом случае.

Взлом стал возможен из-за слабой сегментации сетей, отсутствия строгого контроля доступа и неактуальных систем. Всё довольно банально. Как забытый ключ в двери.

Что делать? Внедрять многофакторную аутентификацию. Строить защитные периметры. Создавать SOC — центры мониторинга. Проверять подрядчиков. И главное — обучать людей. Потому что любые технологии не спасают, если у сотрудника просто написан пароль на бумажке под клавиатурой. А он иногда до сих пор так и лежит.

Итоговые выводы и рекомендации

Этот взлом стал тем самым случаем, когда «ничего не предвещало». Business as usual. Пока всё не рухнуло.

Для всех, кто работает в России, СНГ — урок простой: думать надо не только о развитии, но и о надёжной защите. И думать заранее. Не тогда, когда всё уже обнулено.

Мы живём в мире, где каждая компания — мишень. Хочешь выжить — будь готова. Хочешь доверие клиентов — докажи, что у тебя есть план «C». Даже если «А» и «B» сгорели.

Хотите быть в курсе последних новостей о бизнесе? Подпишитесь на наш Telegram-канал сюда

Календарь мероприятий, конференций и разборов кейсов — здесь