Australijos oro linijų bendrovė „Qantas“ atskleidė, kad pirmadienį aptiko kibernetinį išpuolį po to, kai grėsmės veikėjai įgijo prieigą prie trečiųjų šalių platformos, kurioje yra klientų duomenys.
„Qantas“ yra didžiausia Australijos oro linijų bendrovė, veikianti vidaus ir tarptautiniai skrydžiai per šešis žemynus ir joje dirba apie 24 000 žmonių.
Pirmadienio vakarą paskelbtame pranešime spaudai oro linijų bendrovė teigia, kad išpuolis buvo surengtas, tačiau manoma, kad „reikšmingas“ duomenų kiekis buvo pavogtas. Pažeidimas prasidėjo po to, kai grėsmės aktorius nukreipė „Qantas“ skambučių centrą ir įgijo prieigą prie trečiųjų šalių klientų aptarnavimo platformos.
„Pirmadienį aptikome neįprastą veiklą trečiųjų šalių platformoje, kurią naudoja„ Qantas “oro linijų kontaktų centras. Tada mes ėmėmės neatidėliotinų žingsnių ir pateikėme sistemą. Mes galime patvirtinti, kad visos„ Qantas “sistemos išlieka saugios”, – teigė Qantas.
„Šioje platformoje yra 6 milijonai klientų, turinčių paslaugų įrašų. Mes ir toliau tiriame pavogtų duomenų dalį, nors mes tikimės, kad tai bus reikšminga. Pradinėje apžvalgoje patvirtinta, kad duomenys apima kai kuriuos klientų vardus, el. Pašto adresus, telefono numerius, gimimo datas ir dažnus skrajučių numerius.”
„Qantas“ sako, kad nebuvo atskleista jokios kreditinės kortelės ar asmeninės finansinės informacijos, o dažni skrajutės sąskaitos slaptažodžiai, kaiščiai ir prisijungimo duomenys neturėjo įtakos.
Aptikęs pažeidimą, „Qantas“ sako, kad pranešė Australijos kibernetinio saugumo centrą, Australijos informacijos komisaro biurą ir Australijos federalinę policiją. Neaišku, ar išorės kibernetinio saugumo ekspertai padeda atlikti tyrimą.
Išsklaidytos vorų atakos tikslinės aviacijos firmos
Šis išpuolis įvyksta, kai kibernetinio saugumo įmonės perspėja, kad įsilaužėliai, žinomi kaip „išsibarstę voras“, pradėjo nukreipti į aviacijos ir transporto pramonę.
Nors neaišku, ar ši grupė atsilieka nuo „Qantas“ atakos, „Bleepingcomputer“ sužinojo, kad incidento akcijos panašumai su kitais naujausiais grėsmės veikėjų išpuoliais.
Išsklaidytas voras (taip pat stebimas kaip 0ktapus, UNC3944, Scatter kiaulės, „Starfraud“ ir „Muddled Svarbi“) yra grėsmės veikėjų grupė, žinoma dėl savo socialinės inžinerijos ir tapatybės pagrįstų išpuolių prieš organizacijas visame pasaulyje.
2023 m. Rugsėjo mėn. Jie padidino savo išpuolius pažeidę MGM kurortus ir užšifravę daugiau nei 100 VMware ESXI hipervizorių, naudodamiesi „Blackcat Ransomware“, įgydami prieigą apsimetinėdami darbuotoju. Jie taip pat bendradarbiauja su kitomis „Ransomware“ operacijomis, tokiomis kaip „RansomHub“, „Qilin“ ir „Dragonforce“. Kitos organizacijos, nukreiptos į „Scatter Spider“, yra „Twilio“, „Coinbase“, „Doordash“, „Caesars“, „Mailchimp“, „Riot Games“ ir „Reddit“.
Neseniai sutelkusios dėmesį į mažmeninės prekybos ir draudimo bendroves, kibernetinio saugumo firmos penktadienį perspėjo, kad „Scatter Spider“ atkreipė dėmesį į aviaciją, nes pastaruoju metu išpuoliai prieš Havajų oro linijas ir „Westjet“, kaip manoma, buvo susiję su grėsmės veikėjais.
„BleepingComputer“ sužinojo, kad „Westjet“ pažeidime grėsmės veikėjai išnaudojo savitarnos slaptažodžio nustatymą, kad galėtų gauti prieigą prie darbuotojo sąskaitos, kuri vėliau buvo naudojama tinklo pažeidimui.
Grėsmės veikėjai taikė sektoriaus požiūrį į savo išpuolius, ir neaišku, ar jie yra daromi su aviacijos sektoriumi ir kokia pramonė bus nukreipta toliau.
Organizacijos, ginančios nuo tokio tipo grėsmių, turėtų prasidėti visapusiškai matomumu visoje infrastruktūroje, tapatybės sistemose ir kritinėse valdymo paslaugose.
Tai apima savitarnos slaptažodžių iš naujo nustatymo platformų, pagalbinių stalų ir trečiųjų šalių tapatybės pardavėjų užtikrinimą, kurie tapo bendrais šių grėsmės veikėjų taikiniais.
Tiek „Google“ grėsmės žvalgybos grupė (GTIG), tiek „Palo Alto Networks“ išleido vadovus apie grūdinimo gynybą nuo žinomos „išsibarsčiusios voro“ taktikos, su kuria administratoriai turėtų susipažinti.
Kiti naujausi kibernetiniai išpuoliai, kurie, kaip manoma, yra susiję su išsklaidytu voru, yra „M&S“, „Co-op“, „Erie Insurance“ ir „AFLAC“.
Nors debesų atakos gali tapti sudėtingesnės, užpuolikai vis tiek pasiseka stebėtinai paprastomis technikomis.
Remiantis „Wiz“ aptikimais tūkstančiais organizacijų, šioje ataskaitoje pateikiami 8 pagrindiniai metodai, kuriuos naudoja „Cloud Fluent“ grėsmės veikėjai.
