Aeroflot de Rusia, una de las aerolíneas más antiguas del mundo, se ha dejado luchar después de que los piratas informáticos pro-Ukraine afirmaron haber “destruido” por completo “la infraestructura de TI interna del transportista en una campaña sigilosa de un año.
Los grupos, conocidos como “Crow Silent” y la homólogo bielorruso “Cyber Partisans by”, dijeron que obtuvieron acceso de nivel profundo a sistemas que van desde plataformas de reserva hasta correos electrónicos ejecutivos, culminando en el borrado de aproximadamente 7,000 servidores y el robo de al menos 20 tb de registros de vuelo, datos de pasajeros y comunicaciones internas y comunicaciones internas internas.
Aeroflot citó públicamente una “falla del sistema de información” no especificada el lunes temprano, ya que canceló 42 vuelos nacionales y regionales del aeropuerto Sheremetyevo de Moscú, dejando terminales atascadas con viajeros frustrados.
Horas después, los dos grupos hacktivistas publicaron una declaración conjunta en Telegram que declaró el incidente como una “huelga estratégica” tanto contra la compañía como en el aparato de seguridad del estado de Rusia.
Las capturas de pantalla que acompañan a la publicación muestran lo que parecen ser árboles de directorio activo y carpetas del sistema de vigilancia supuestamente capturadas durante su acceso clandestino.
Reclamo de hackers
Los atacantes afirman que penetraron la red de la aerolínea a mediados de 2024 a través de Phishing y exploits de día cero, privilegios que aumentan lentamente hasta que alcanzaron los controladores de dominio de nivel 0, las “joyas de la corona” de cualquier empresa basada en Windows.
Fecha / hora (Moscú) MilestoneImpact / NotesMid-2024 (≈-julio) Partisanos silenciosos y cibernéticos obteniendo una posición inicial en la red corporativa de Aeroflot, lanzando una operación clandestina de un añoAcceso persistente establecido; El reconocimiento de los sistemas críticos comienzaPrimavera 2025hackers intensifican los privilegios, alcanzando el nivel de nivel de nivel 0 (controlador de dominio) y obteniendo control administrativo sobre la reserva, el correo electrónico y las plataformas de vigilanciaEl movimiento lateral completo habilita la extracción de bases de datos de 12 TB, acciones de archivo de 8 TB, 2 TB Mailstores27 de julio de 2025 (23:00) Carga útil de limpiaparabrisas activada en 122 hosts ESXi VMware y grupos virtuales adicionales≈7,000 servidores físicos + virtuales sobrescribidos o bloqueados; 20-22 TB exfiltrado a nodos fuera del sitio28 de julio de 2025 (05:30) Los servicios internos de Aeroflot fracasan; Los empleados pierden acceso a la reserva, la tripulación y los sistemas de mensajeríaParálisis operacional inmediata; equipos de incidentes convocados28 de julio de 2025 (08:00) Aeroflot emite la primera declaración pública sobre “falla del sistema de información”, advierte sobre las interrupciones del horario42 vuelos cancelados en cuestión de horas; A los pasajeros les dijeron que recuperaran el equipaje y dejaran Sheremetyevo28 de julio de 2025 (10:30) Silent Crow publica un reclamo detallado sobre el telegrama, declarando la “destrucción completa” de la infraestructura de TIEl grupo amenaza con filtrar los datos personales de todos los pasajeros de Aeroflot28 de julio de 2025 (12:15) Las cancelaciones se elevan a 49 vuelos; colas y viajeros varados reportados en Moscú HubLos tableros de salida muestran avisos rojas “cancelados”. sistemas de disco de combustible brevemente fuera de línea28 de julio de 2025 (13:45) El fiscal general ruso abre una investigación penal en virtud del artículo 272 para el “acceso no autorizado”Investigación legal lanzada; El portavoz de Kremlin etiqueta la situación “bastante alarmante”28 de julio de 2025 (18:00) Silent Crow reitera la amenaza, afirma un motivo estratégico vinculado a la guerra de Rusia en UcraniaTensión geopolítica aumentada; Los expertos estiman los costos de recuperación en “decenas de millones de dólares”
Una vez dentro, según los informes, comprometieron plataformas centrales como Saber, Sirax, SharePoint, Exchange, CRM, ERP e incluso herramientas de monitoreo utilizadas por el Centro de Operaciones de Seguridad de Aeroflot.
Aeroflot aún no ha confirmado la descripción de los piratas informáticos de la violación, pero el fiscal general de Rusia ha abierto una investigación penal sobre “acceso no autorizado” y reconoció que un ataque cibernético paralizó los servicios de la aerolínea.
El secretario de prensa de Kremlin, Dmitry Peskov, calificó el incidente como “bastante alarmante”, y agregó que la amenaza subraya Vulnerabilidades que enfrentan las grandes empresas rusas en medio del conflicto en curso en Ucrania.
Los analistas de ciberseguridad dicen que el costo de reconstruir la red troncal digital de Aeroflot podría llegar a “decenas de millones de dólares” y tomar meses, si no más..
La interrupción ya se ha afeitado más del 4% del precio de las acciones de intercambio de Moscú de la aerolínea y provocó preocupaciones más amplias sobre la resistencia de la aviación dentro de Rusia.
Impacto clave DetailExtentFlight CancelationsDomestic y Routes Regionales basadas en SheremetyEvo49 VuelosLos nodos de Servidor LossPhysical y Virtual Wiped≈7,000 unidadesVuelo estobeño de datos DBS, PII, correo electrónico, grabaciones de llamadas> 20 TBStock ReactionMoEx: AFLT Down en la negociación intradía – 4%Recuperación de costos de recuperación Reconstrucción y forense “Decenas de millones $”
Silent Crow advirtió que los “volcados de datos parciales”, incluidos los datos personales de los pasajeros y las llamadas telefónicas grabadas, se lanzarán en las próximas semanas a menos que Moscú termine “agresión cibernética represiva” en el extranjero.
Si se verifica, la fuga podría exponer millones de registros de clientes e intensificar el escrutinio regulatorio en múltiples jurisdicciones.
Con los viajes aéreos internacionales que se recuperan después de la pandemia, el colapso digital de Aeroflot ofrece un golpe simbólico y operativo.
Los analistas señalan que si bien el sector de la aviación de Rusia ha enfrentado incidentes de drones y presión de sanciones, un ciber-sabotaje a gran escala de su aerolínea insignia marca una escalada en el frente digital más amplio del conflicto ruso-ucraniano
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
