17/07/25
Затруднения начались в первые дни июля 2025 года и продолжается до сих пор. Одним из первых заметных последствий стала невозможность выдачи расчётных листков за июнь — сотрудники получили зарплату, но сами документы оказались недоступны из-за блокировки автоматических процессов.
Согласно внутренним уведомлениям, которые получили работники авиакомпании, IT-отдел уже с 4 июля фиксировал признаки целенаправленных атак, передаёт Securitylab. На фоне продолжающихся угроз было рекомендовано срочно адаптировать рабочие планы, активировав положения плана обеспечения непрерывности бизнеса. Особое внимание уделялось безопасному поведению в сети: сотрудников призвали не открывать письма, маскирующиеся под служебные, особенно если они якобы отправлены от собственного имени.
С 7 июля началась активная фаза реагирования. Все пароли были сброшены, отключены служебные аккаунты, а дата-центры помещены в демилитаризованную зону. Это привело к сбоям в синхронизации паролей и нарушению ряда автоматизированных задач. Для усиления защиты компания отключила доступ в интернет для всех конечных устройств, разрешив только посещение отдельных страниц в домене airserbia.com.
Также на все рабочие станции начали устанавливать новое программное обеспечение для сканирования и защиты, а позднее — и новый VPN-клиент. Вслед за первой волной смены паролей последовали ещё две — 9 и 11 июля. Во время последней сотрудники были обязаны оставить свои компьютеры включёнными и заблокированными перед уходом, чтобы IT-отдел смог продолжить работы в их отсутствие.
Источники, близкие к ситуации, утверждают , что атака затронула ключевую инфраструктуру Air Serbia, включая Active Directory. Характер вторжения пока не определён окончательно, но высказывается версия об использовании вредоносного ПО, возможно, инфостилера — программы, собирающией конфиденциальные данные. При этом выкупа злоумышленники не требовали, что может свидетельствовать либо о шпионской мотивации, либо о подготовке к дальнейшим атакам, включая возможное использование программ-вымогателей.
Особую тревогу вызывает отсутствие полной картины произошедшего — из-за нехватки журналов безопасности невозможно точно установить момент вторжения. По данным инсайдеров, злоумышленники следили за уязвимыми точками системы Air Serbia с начала 2024 года, и утечки о возможной компрометации инфраструктуры начали циркулировать на технических форумах уже тогда.
Ранее в 2025 году компания уже сталкивалась с DDoS -атаками, но нынешний случай стал больше. Несмотря на то, что расследование продолжается, некоторые сотрудники выражают обеспокоенность тем, что руководство может не сообщить публично о факте вторжения, хотя последствия могут затронуть персональные данные.
