La aerolínea australiana Qantas reveló que había detectado un ataque cibernético el lunes después de que los actores de amenaza tuvieron acceso a una plataforma de terceros que contenía datos de clientes.
Qantas es la aerolínea más grande de Australia, operando vuelos nacionales e internacionales en seis continentes y emplea a alrededor de 24,000 personas.
En un comunicado de prensa publicado el lunes por la noche, la aerolínea dijo que el ataque estaba contenido, pero se habría robado una cantidad “significativa” de datos. La violación comenzó después de que un jugador de amenaza se dirigió a un centro de llamadas de Qantas y tuvo acceso a una plataforma de servicio al cliente de terceros.
“El lunes, detectamos una actividad inusual en una plataforma de terceros utilizada por un centro de contacto en la aerolínea de Qantas. Luego tomamos medidas inmediatas y el sistema. Podemos confirmar que todos los sistemas de Qantas permanecen seguros”, “,”, “,”, “,” Qantas dijo.
“Hay 6 millones de clientes que tienen registros de servicios en esta plataforma. Continuamos investigando la proporción de datos que han sido robados, aunque esperábamos que sea significativo. Un examen inicial ha confirmado que los datos incluyen los nombres de ciertos clientes, direcciones de correo electrónico, números de teléfono, fechas de nacimiento y números de folletos frecuentes”.
Qantas dice que no se ha expuesto ninguna tarjeta de crédito o que la información financiera personal, y que las contraseñas, los pasadores y la conexión frecuente del volante, y los detalles de conexión no se han visto afectados.
Después de detectar la violación, Qantas dijo que había informado al Centro de Ciberseguridad Australiana, la Oficina de Policía Federal Australiana de Australia. No está claro si los expertos en ciberseguridad externos ayudan a la investigación.
Ataques de araña dispersos a las compañías de aviación objetivo
Este ataque se produce cuando las compañías de ciberseguridad advierten que los piratas conocidos como “araña dispersa” comenzaron a dirigirse a las industrias de aviación y transporte.
Aunque no está claro si este grupo está en el origen del ataque de Qantas, BleepingCompute ha aprendido que el incidente comparte similitudes con otros ataques recientes de los actores de amenazas.
Araña dispersa (también seguida en 0ktapus, UNC3944Dispersar a los cerdos, starfraud y Confuso) es un grupo de actores de amenaza conocidos por su conducta de ingeniería social y ataques basados en la identidad contra organizaciones de todo el mundo, comúnmente utilizando phishing, intercambio SIM, bombardeos de MFA y llamadas telefónicas de la oficina para acceder a la información de identificación de los empleados.
En septiembre de 2023, degeneraron sus ataques vaciando las estaciones de MGM y encriptando más de 100 hipervisores ESXI VMware utilizando ransomware BlackCat después de tener acceso usurpando la identidad de un empleado. También se han unido a otras operaciones de ransomware, como RansomhubQilin y Dragonforce. Las otras organizaciones atacadas por Spander Spider incluyen Twilio, Coinbase, Doordash, Caesars, MailChimp, Riot Games y Reddit.
Después de centrarse recientemente en compañías minoristas y compañías de seguros, las compañías de seguridad cibernética advirtieron el viernes que Spander Spider se había centrado en la aviación, con ataques recientes a Hawaiian Airlines y WestJet que se supone que estaban vinculados a los actores de amenazas.
BleepingCompute se enteró de que en la violación de WestJet, los actores de amenaza han explotado un restablecimiento de contraseña de autoservicio para acceder a la cuenta de un empleado, que luego se usó para violar la red.
Los actores de amenaza utilizaron un enfoque del sector por el sector de sus ataques, y no está claro si han terminado con el sector de la aviación y a qué industria se dirigirá después.
Las organizaciones que se defienden contra este tipo de amenaza deben comenzar obteniendo una visibilidad completa en toda la infraestructura, los sistemas de identidad y los servicios de gestión crítica.
Esto incluye asegurar los restos para restablecer la contraseña de autoservicio, las oficinas de asistencia y los proveedores de identidad de terceros, que se han convertido en objetivos comunes de estos actores de amenazas.
Ambos Google Threat Intelligence Group (GTIG) Y Palo Alto Networks han publicado guías sobre el endurecimiento de las defensas contra las tácticas conocidas de “arañas dispersas”, con las cuales los administradores deben familiarizarse.
Otros ataques cibernéticos recientes que se asociarían con la araña manchada incluyen M&S, Co-op, Erie Assurance y Aflac.
Si bien los ataques de nubes pueden volverse más sofisticados, los atacantes siempre tienen éxito con técnicas sorprendentemente simples.
Basado en las detecciones de Wiz en miles de organizaciones, este informe revela 8 técnicas clave utilizadas por los actores en amenazas de fluidos.