Il caso Aeroflot: cosa succede quando la cybersecurity diventa un optional
cronaca di un cyber disastro annunciato
Il caso Aeroflot: cosa succede quando la cybersecurity diventa un optional
Il 28 luglio 2025, Aeroflot, la compagnia aerea nazionale russa, ha subito un massiccio attacco informatico che ha paralizzato le sue operazioni e causato significative perdite finanziarie e danni reputazionali. L’attacco, rivendicato dai gruppi filo-ucraini Silent Crow e Cyberpartisans BY, pare aver comportato la distruzione di circa 7.000 server e l’esfiltrazione di 22 terabyte di dati sensibili.
Questo incidente evidenzia vulnerabilità critiche nelle infrastrutture essenziali e l’escalation del panorama delle minacce cibernetiche. Ora che le aziende italiane – ed europee in generale – sono chiamate dalla Direttiva NIS 2 a prendere in mano più severamente la difesa dei propri asset informatici, e quindi a sviluppare piani, aggiornare i sistemi più datati, a formare le proprie risorse umane, vediamo se vi sono lezioni che possiamo trarre e applicare a noi.
Gli hacker hanno dichiarato di essere rimasti silenti all’interno dei sistemi della compagnia per oltre un anno. Questa prolungata permanenza ha permesso agli attaccanti di mappare estensivamente la rete e identificare gli asset critici prima di sferrare l’attacco. Ciò indica una significativa carenza nelle capacità di ricerca proattiva delle minacce e di monitoraggio delle operazioni di sicurezza di Aeroflot.
L’accesso iniziale alla rete di Aeroflot sarebbe avvenuto a metà del 2024 tramite campagne di phishing mirate ed exploit zero-day. Un fattore critico è stato l’utilizzo della password del direttore della compagnia, che pare non fosse stata cambiata dal 2022. Una volta all’interno, gli aggressori hanno ottenuto il massimo livello di controllo amministrativo sull’intera infrastruttura di gestione delle identità e degli accessi della rete, raggiungendo i controller di dominio Tier-0 – ossia di prendere possesso dell’intera gestione delle identità e degli accessi della rete – rendendo la difesa quasi impossibile una volta raggiunta questa fase.
L’azione distruttiva culmine dell’attacco è stata la cancellazione completa di circa 7.000 server (fisici e virtuali). Gli attaccanti hanno dichiarato di aver utilizzato un algoritmo wiper “speciale innovativo” – così definito dai portavoce degli hacker – che avrebbe cancellato i dati da sistemi critici come CREW, Sabre, SharePoint, Exchange, KASUD, Sirax, Sofi, CRM, ERP, 1C e persino dei sistemi di sicurezza, senza possibilità di recupero.
Sebbene i dettagli tecnici specifici di tale algoritmo non siano stati divulgati, il suo effetto si allinea con tecniche avanzate di cancellazione dei dati, probabilmente impiegando metodi come la sovrascrittura multi-pass o la cancellazione crittografica.
L’attacco ha messo in luce diverse vulnerabilità critiche nell’infrastruttura IT di Aeroflot, inclusa l’utilizzo di sistemi obsoleti come Windows XP e Windows 2003, privi di aggiornamenti di sicurezza e altamente suscettibili a vulnerabilità note. L’affidamento continuo su sistemi obsoleti rappresenta un significativo “debito tecnico” che accumula rischi e rende i sistemi facili bersagli. Questo suggerisce una mancanza di investimenti nella modernizzazione IT, potenzialmente dovuta a vincoli di costo, complessità della migrazione o una bassa priorità data alla sicurezza cibernetica, precedenti alle sanzioni che hanno colpito la Russia dopo l’inizio dell’invasione dell’Ucraina.
Gli Hacker affermano di aver ottenuto accesso e compromesso l’infrastruttura di virtualizzazione e gestione, inclusi hypervisor, ambienti di virtualizzazione russi (ZVIRT), interfacce iLO per la gestione di server fisici, cluster Proxmox e migliaia di macchine virtuali. Sono stati compromessi anche sistemi di gestione voli (CREW, Sabre), sistemi ERP e CRM (1C, Sirax, SharePoint, KASUD, Sofi), posta elettronica aziendale (Exchange), sistemi di controllo perdita dati (DLP) e sistemi di sicurezza e monitoraggio.
Oltre alla distruzione, gli attaccanti hanno esfiltrato un totale di 22 terabyte di dati sensibili. I tipi di dati raccolti includerebbero 12 TB di database (cronologia voli, manutenzione, passeggeri), 8 TB da condivisioni di file di rete, 2 TB da email aziendali, audio da intercettazioni e comunicazioni interne, dati dai sistemi di monitoraggio del personale e documenti riservati.
L’assalto digitale ha colpito le comunicazioni aziendali e l’infrastruttura di trasferimento dati negli aeroporti di Mosca e San Pietroburgo, e la sede centrale di Aeroflot. Tra 54 e 108 voli sono stati cancellati il 28 luglio, rappresentando circa il 40-50% del normale programma di Aeroflot, con decine di voli cancellati anche il 29 luglio. Migliaia di viaggiatori sono rimasti bloccati negli aeroporti di Mosca e San Pietroburgo, causando caos. Operazioni critiche come il rifornimento degli aeromobili, la localizzazione degli equipaggi e il monitoraggio dei riposi degli equipaggi sono diventate impossibili. Anche il sito web principale e l’app mobile di Aeroflot sono stati colpiti e resi inaccessibili.
Le conseguenze finanziarie sono state immediate: le azioni di Aeroflot hanno perso il 3,9% sul mercato azionario. La perdita di entrate stimata per il giorno dell’attacco variava tra i 259 milioni e 500 milioni di rubli (3,15-6,15 milioni di dollari). Alcuni esperti stimano che il danno totale potrebbe raggiungere tra 10 e 50 milioni di dollari.
Aeroflot ha dichiarato che “gli specialisti stanno attualmente lavorando per minimizzare l’impatto… e per ripristinare le normali operazioni di servizio”. Tuttavia, allo stato delle informazioni oggi disponibili, le valutazioni di esperti divergono significativamente, con stime di recupero che vanno da settimane a mesi, fino a un anno.
L’attacco ad Aeroflot ha esposto profonde debolezze fondamentali nella sicurezza cibernetica dell’azienda. Per proteggere le infrastrutture critiche, l’evento di Aeroflot suggerisce un mutamento delle strategie aziendali, favorendo la proattività invece che la più “classica” difesa perimetrale.
Tornando al nostro proposito – assumere lezioni per migliorare le attività di remediation in vista degli obblighi NIS 2 – facciamo una lista di “saggi insegnamenti” che possiamo trarre da tutta questa storia.
Prima di tutto, nell’elaborazione dei propri piani di gestione del rischio e delle vulnerabilità, le aziende dovrebbero presupporre la violazione e investire nella caccia proattiva alle minacce per scoprire l’accesso persistente, il che richiede tecnologie e servizi di monitoraggio e analisi continui dell’attività di rete.
Inoltre, le organizzazioni dovrebbero investire sull’implementazione di una segmentazione fisica e logica per isolare i controller di dominio (asset Tier-0) dalle reti aziendali e operative, limitando il movimento laterale e contenendo le violazioni.
Per la difesa da attività di phishing, bisognerà implementare regole del gateway di posta elettronica personalizzate per i ruoli ad alto rischio e applicare l’isolamento dei collegamenti o la riscrittura degli URL in tempo reale. Ben utile anche l’utilizzo di tecnologie MFA.
Può essere opportuno utilizzare il controllo delle applicazioni e l’Endpoint Detection and Response (EDR) per bloccare l’esecuzione non autorizzata di strumenti di cancellazione del disco, l’abuso di PowerShell e le utility di ricognizione del dominio, nonché implementare tecniche di deception degli endpoint (honeypot, credenziali false) sui nodi critici per rilevare e fuorviare i tentativi di dispiegamento di attacchi di tipo wiper.
Ultimo ma non per importanza, le aziende dovrebbero affrontare urgentemente i problemi legati ai sistemi obsoleti – ricordiamo, ad esempio, che windows 10 non sarà più supportato dopo ottobre 2025 – e implementare una rigorosa gestione delle patch.
L’attacco ad Aeroflot serve da severo monito per tutti gli operatori di infrastrutture critiche affinché implementino strategie di sicurezza cibernetica complete e a più livelli, diano priorità alla resilienza e imparino da questa esperienza per prevenire interruzioni catastrofiche simili in futuro. In un mondo sempre più interconnesso e propenso ai conflitti, una robusta sicurezza cibernetica non è più solo una preoccupazione IT, ma una questione di sicurezza per l’imprenditore, per la sua impresa, la società nel suo complesso, e per la nazione.
Questo non è solo episodio grave di cronaca digitale ma un promemoria tangibile di cosa significa trascurare la sicurezza in un’infrastruttura critica. La lezione, per le aziende italiane ed europee, è chiara: non basta reagire, bisogna prepararsi.
Con l’entrata in vigore della Direttiva NIS 2, le imprese non possono più permettersi debolezze strutturali, ritardi negli aggiornamenti o strategie difensive di facciata. Serve un cambio di paradigma: passare dalla sicurezza “perimetrale” alla resilienza sistemica, fatta di cultura, formazione, investimenti e monitoraggio costante.
EasyGDPR affianca le aziende proprio in questo percorso: aiutandole a costruire piani di gestione del rischio concreti, aggiornare sistemi obsoleti, formare il personale e garantire compliance normativa e sicurezza reale.