Los piratas informáticos dispersos se centran en la aviación, las compañías de transporte

Los piratas asociados con las tácticas de “arañas dispersas” extendieron su objetivo a las industrias de aviación y transporte después de atacar previamente los sectores de seguros y minoristas

Estos actores de amenaza utilizaron un enfoque sectorial del sector, inicialmente dirigido a compañías minoristas, como M&S y Co-op, el Reino Unido y los Estados Unidos, y a partir de entonces centrándose en las compañías de seguros.

Aunque las partes interesadas de amenazas no fueron oficialmente designados gerentes de los ataques del sector de seguros al principio, los incidentes recientes tuvieron un impacto en las compañías de seguros de Aflac, Erié Insurance y Filadelfia.

Los piratas se dirigen a la industria de la aviación

El 12 de junio, la segunda aerolínea más grande de Canadá, WestJet, se sometió a un ataque cibernético Esto ha interrumpido brevemente los servicios internos de la empresa y la aplicación móvil.

Poco después de la violación, las fuentes declararon que Palo Alto Networks y Microsoft ayudaron a la respuesta al ataque.

El ataque fue otorgado a Spider Spider, quien habría comprometido los centros de datos de la compañía y su entorno de Microsoft Cloud.

BleepingComputter fue informado de que el actor de amenaza tenía acceso al restablecer una contraseña de autoservicio para un empleado, lo que les permitió registrar su propio MFA y obtener acceso remoto a la red a través de Citrix.

Mientras que otros actores de amenaza lideran los ataques de identidad, Spander Spider se ha asociado con esta táctica debido a su focalización regular de asistencia y contraseña e infraestructura MFA.

Hoy, Hawaiian Airlines también reveló que se habían sometido a un ataque cibernético, pero no proporcionaron detalles que pudieran indicar quién estaba detrás del ataque. Sin embargo, una fuente dijo que pensaba que pensaba que la misma amenaza que los actores eran responsables.

Sam Rubin de Palo Alto Networks, director vicepresidente de consultoría y KE en amenazas, ahora ha confirmado LinkedIn que Spander Spider ha comenzado a dirigirse a la industria de la aviación.

“La Unidad 42 observó el equilibrio confundido (también conocido como araña dispersa) dirigida a la industria de la aviación”, “,”, “,”, “,”, ” Después de Rubin.

“Las organizaciones deben estar en alerta máxima por ataques de ingeniería social sofisticada y específica y solicitudes de reinicio de sospechosos de MFA”.

Charles Carmakal de Mandiant también advirtió que los actores de amenaza ahora se han centrado en los sectores de aviación y transporte.

“Alerta: Sported Spider ha agregado a las aerolíneas y organizaciones de transporte de América del Norte a su lista de objetivos”. Carmakal publicado en LinkedIn.

“Mandiant (parte de Google Cloud) es consciente de varios incidentes en la aerolínea y el sector de transporte que se asemeja a las operaciones de UNC3944 o una araña dispersa.

“We recommend that the industry immediately take measures to tighten its assistance identity verification processes before adding new telephone numbers to the accounts of employees / entrepreneurs (which can be used by the threat actor to carry out resets of self-service password), reset passwords, add devices to MFA solutions or provide information on employees (EG Empet IDS) be used for subsequent social engineering attacks. ” “”

American Airlines también sufre de una falla de la computadora, pero no está claro si es un incidente de seguridad. BleepingCompute contactó a la aerolínea pero no recibió una respuesta.

¿Cuál es la araña dispersa?

Araña dispersa, también conocida como 0ktapus, Starfraud, UNC3944Dispersar a los cerdos, la tormenta de octo y Confusoes una clasificación de los actores de amenaza que son capaces de utilizar ataques de ingeniería social, phishing, bombardeos de autenticación multifactor (MFA) (fatiga dirigida de la MFA) y el intercambio de SIM para obtener acceso inicial en la red en grandes organizaciones.

Estos actores de amenaza incluyen personas jóvenes que hablan en inglés con diversos conjuntos de habilidades que frecuentan los mismos foros piratas, canales de telegramas y servidores de discordia. Estos soportes se utilizan para planificar y ejecutar ataques en tiempo real.

Se supone que algunos son parte de la “Com”, una comunidad ligeramente unida de actores de amenaza conocidos por fraude financiero, robo de criptomonedas, violaciones de datos y ataques de extorsión.

Si bien Spander Spider se llama comúnmente una pandilla coherente, de hecho se usa para designar a los actores de amenaza que usan tácticas específicas durante el ataque. Dado que los ataques asociados con tácticas de araña dispersas también son comúnmente utilizados por diferentes individuos de una red suelta de actores de amenaza, es difícil seguirlos.

A diferencia de muchos otros actores de amenazas que hablan en inglés, se sabe que los asociados con “Spider Spider” se asocian con pandillas de ransomadas rusas, como BlackCat, RansomhubQilin y Dragonforce.

Los otros ataques vinculados a Spisted Spider incluyen los de MGM, Marks & Spencer, Coop, Twilio, Coinbase, Doordash, Caesars, MailChimp, Riot Games y Reddit.

Las organizaciones que se defienden contra este tipo de actor de amenaza deben comenzar a obtener una visibilidad completa en toda la infraestructura, los sistemas de identidad y los servicios de gestión crítica.

Esto incluye asegurar las plataformas para restablecer la contraseña de autoservicio y las oficinas de asistencia, objetivos comunes de estos actores de amenaza.

Ambos Google Threat Intelligence Group (GTIG) Y Palo Alto Networks han publicado guías sobre el endurecimiento de las defensas contra las tácticas conocidas de “arañas dispersas” utilizadas por estos actores de amenaza.

Se aconseja a todos los administradores que se familiaricen con estos consejos y cosechen sus plataformas y procesos de identidad.

Actualización del 27/06/25: la adición de American Airlines actualmente sufre de una falla de la computadora.