Cyberaanval door achterhalen wachtwoord legt Aeroflot plat
Het Russische Aeroflot heeft meer dan een probleem nu het door een succesvolle cyberaanval is getroffen. Cyberaanvallen over en weer zijn een vaste component in oorlog die Rusland tegen Oekraïne voert en de doelwitten daarvoor worden gekozen met het oog op maximale ontwrichting.
Een luchtvaartmaatschappij platleggen is voorbeeld van grote ontwrichting. Aeroflot is ook nog eens de grootste in Rusland. Een land dat zo groot is dat er 11 tijdzones zijn. En sinds maandag stijgen er van de tientallen luchthavens verspreid over die enorme landmassa geen toestellen van Aeroflot meer op, de paar die in de lucht waren tijdens de aanval zijn veilig geland.
In de eerste berichten die over de aanval doorsijpelden was sprake van het compleet overnemen en daarna wissen van 7.000 servers plus het achteroverdrukken van 20TB aan data. Dat geringe datavolume leidde tot veel reacties van ongeloof. Wie een dergelijk grote IT omgeving aanvalt moet een veelvoud van 20TB aan data aantreffen.
Deze aanname is begrijpelijk, want bij cyberaanvallen is datadiefstal in de regel het hoofddoel. In dit geval is dat duidelijk niet het geval geweest. We hebben hier te maken met een aanval die op het wipen en vernietigen uit was. Dat is gelukt, want 7.000 fysieke en virtuele servers onbruikbaar maken staat gelijk aan behoorlijk grote schade.
Een dag na de aanval is de chaos op de Russische luchthavens nog steeds groot en begint ook bekend te worden wat de aanval heeft mogelijk gemaakt.
Rusland heeft geen legale toegang tot Westerse technologie en geen eigen alternatieven. Een groot deel van de IT draait daarom op verouderde Windows versies. Dat heeft het latere werk van de cyberaanvallers wel erg makkelijk gemaakt, maar ze moesten wel eerst toegang tot het netwerk dat draait op XP en 2003 krijgen.
Wachtwoord
Daarvoor was het nodig toegang te krijgen tot een account met veel rechten. De ceo van Aeroflot Sergey Aleksandrovsky heeft dat mogelijk gemaakt. Sinds zijn aantreden in 2022 heeft hij zijn wachtwoord nooit veranderd. Woorden schieten te kort bij deze domheid.
update 30-07
Online is gewezen op het wachtwoordbeleid bij Russische staatsbedrijven. Het zijn niet de gebruikers, zoals Sergey Aleksandrovsky, die hun wachtwoord aanmaken en bijhouden. Dat is het werk van de nationale veiligheidsdienst (!)
(dit artikel verscheen eerder op ITchannelPRO)
Meer over
Lees ook
Arctic Wolf: meer ransomware-aanvallen, lagere losgeldeisen
Uit onderzoek van Arctic Wolf blijkt dat cybercriminelen meer ransomware-aanvallen dan ooit uitvoeren, maar dat de initiële losgeldeis bij ransomware-aanvallen bijna is gehalveerd tot 414.000 dollar. Dit is de eerste keer dat de initiële losgeldeis is gedaald in vier jaar tijd. Volgens de onderzoekers van Arctic Wolf vragen cybercriminelen bewust1
WatchGuard: 1548% meer nieuwe malware in één kwartaal, aanvallen steeds complexer
WatchGuard Technologies signaleert een explosieve stijging van nieuwe, unieke malware. In het vierde kwartaal van 2025 lag het aantal nieuwe varianten 1548% hoger dan in het kwartaal ervoor. Daarnaast wist 23 procent van alle gedetecteerde malware traditionele, op handtekeningen gebaseerde beveiliging te omzeilen
Bij negen op de tien ransomware-incidenten wordt misbruik gemaakt van firewalls
Uit onderzoek van Barracuda blijkt dat in 90% van de ransomware-incidenten in 2025 misbruik werd gemaakt van firewalls, via niet-gepatchte software of een kwetsbaar account. Een andere opmerkelijke bevinding is dat er bij snelst werkende ransomware-aanval slechts drie uur zaten tussen de initiële inbreuk en het versleutelen van gegevens.