Un incidente de seguridad cibernética en la aerolínea de Australia Qantas que se origina en el compromiso de un centro de contacto de terceros se está vinculando tentativamente a una campaña en curso de ataques cibernéticos orquestados por el colectivo de piratería conocido como Spider disperso, que anteriormente atacó a los minoristas británicos de High Street en abril y mayo. El viernes 27 de junio, los analistas de la unidad de caza de amenazas mandante de Google Cloud dijeron que estaban investigando más de un ataque cibernético de araña disperso que involucró al sector de la aviación, a medida que se extendía noticias de un ataque cibernético en la aerolínea de los EE. UU., Y el operador canadiense Westjet trabajó para contener otro incidente. Se sabe que la araña dispersa favorece un enfoque sector por sector para su objetivo, centrándose en una vertical a la vez antes de seguir adelante. Su actual avenida de actividad se centró primero en los sectores minoristas del Reino Unido y los Estados Unidos, seguidos por las compañías de seguros, antes de pasar a la aviación, por lo que se anticiparon más ataques contra el sector. La violación de Qantas, que se detectó por primera vez el lunes 30 de junio, vio a los ciberdelincuentes acceder a una plataforma de servicio al cliente en el Centro de Contacto Victimizado, desde donde pudieron exfiltrar datos sobre aproximadamente seis millones de personas. Según el portador de bandera australiano, los datos incluyen nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento y números de volantes frecuentes, pero no datos de tarjeta de crédito, información financiera o detalles de pasaporte. ¿Está involucrada la araña dispersa? Poco unos días después de que Mandiant advirtió sobre los ataques cibernéticos contra las aerolíneas por el colectivo de araña disperso, el incidente de Qantas está naturalmente vinculado a la pandilla. Sin embargo, Charles Carmakal, director de tecnología consultoría de Mandiant, que emitió la advertencia de la semana pasada, dijo que no sería prudente hacer una atribución firme en esta etapa. «Si bien Spattered Spider tiene un historial de ataques a organizaciones globales, incluidas las de Australia, es demasiado pronto para saber si han ampliado su orientación actual a las organizaciones de aerolíneas australianas», dijo Carmakal a Computer Weekly por correo electrónico hoy. “Varios actores de amenazas utilizan la ingeniería social basada en el teléfono para comprometer a las organizaciones, incluido un actor de amenaza de motivación financiera que llamamos UNC6040. Las organizaciones que capacitan proactivamente a su personal de la mesa de ayuda en procesos de verificación de identidad sólidos e implementan MFA resistentes a phishing están mejor equipadas para ver estos tipos de ataques. Toby Lewis, jefe global de análisis de amenazas en DarkTrace, dijo: «La violación cibernética de Qantas lleva las características de la araña dispersa, el mismo grupo detrás de los recientes ataques contra las aerolíneas hawaianas, WestJet y Marks & Spencer, probablemente a través de un ataques de seguridad de terceros. Operar de los países occidentales para aparecer como usuarios legítimos y evitar filtros de seguridad estándar «. Los centros de contacto y los campos de asistencia a menudo son el objetivo de un proveedor de centro de contacto a Qantas también se alinea con los modus operandi establecidos del grupo: los miembros de la araña dispersos tienen centros de contacto de larga data y los campos de TI y sus ataques sobre los casinos de Las Vegas en 2023 originados a través de los servicios de TI proporcionados a las víctimas de las víctimas de OKTA. El sector de la aviación debe dirigir su enfoque. Down y finalmente ceder a sus demandas. Enfoque sus esfuerzos de resiliencia cibernética en su ecosistema de proveedores de terceros. que es responsable de qué, la segmentación del sistema y los estrictos controles de acceso, y manteniendo la auditoría activa constante de las actividades de terceros. El comienzo de la temporada de viajes de verano máximo para el hemisferio del norte, significa que el efecto del incidente cibernético de Qantas probablemente se magnifica, no solo en términos de su impacto en la víctima y sus clientes, sino en términos de cuán ampliamente se discute, y en términos de publicidad para los ciberdinentes cibernéticos, a los hurganes, sino a los ciberdelo de los ciberdelo, pero en gran medida, los aficionados de los ciberdigentes, son los hurgenes cibernéticos. Preocupado por la infamia y la notoriedad, ya que se trata de una ganancia financiera. Sin embargo, la compra de golosinas y comida de picnic para el clima esperado. Descubierto un lunes sugiere, pero no es una prueba definitiva, que este puede haber sido el caso aquí. El Reino Unido encontró a su costo. Lo que sí sabemos es que hasta ahora no ha sido comprado a la venta por ningún actor de amenaza «, dijo.» Para los usuarios cuya información personal puede haber sido expuesta, el mayor riesgo son los ataques de ingeniería social de seguimiento dirigidos contra ellos. Si las contraseñas terminan convirtiéndose en parte de los datos robados, entonces es probable que sigan los ataques de relleno de credenciales, donde los atacantes intentan reutilizar las credenciales robadas en otros sitios. «Sin confirmación de la exposición a la contraseña, los usuarios aún no necesitan apresurarse para cambiar sus contraseñas. Sin embargo, los usuarios deben asegurarse de que usen contraseñas fuertes y únicas en cada sitio, pero lo más importante, asegúrese de que MFA esté habilitado en cuentas confidenciales para evitar que los ataques de relleno de credenciales tengan éxito», dijo. Lewis en Darktrace dijo que si los ciberdelincuentes detrás del ataque de Qantas pueden monetizar con éxito los datos robados en la red oscura, los ataques de seguimiento eran muy probables. «Espere que los datos robados del cliente (nombres, correos electrónicos, fechas de nacimiento, números de volantes frecuentes) alimenten campañas de phishing convincentes dirigidas a programas de fidelización y engañen a los clientes con solicitudes de pago falsas utilizando detalles de reserva reales», dijo Lewis. El director de servicios de Netspi EMEA, Sam Kirkmanm, agregó: «Para los clientes, el riesgo principal no radica en el robo de datos de pago, sino en el potencial de ingeniería social dirigida. Es vital tener cautivado de mensajes o llamadas no solicitadas que reclaman Qantas de QANTAS. Esta referencia a los detalles personales ahora es un tiempo sensible revisar la información que se almacena con otras aerolíneas y eliminar cualquier cosa de un paso simple. ¿Qué sigue? Para su crédito, Qantas ha respondido rápidamente y con apertura encomiable al incidente. Ha establecido medidas de seguridad adicionales para salvaguardar sus sistemas, cuya naturaleza debe ser no revelada por ahora, y ha fortalecido los procesos de monitoreo y detección del sistema en plataformas de terceros. También está trabajando con el Coordinador Nacional de Seguridad Cibernética de Australia, el Centro de Seguridad Cibernética Australiana (ACSC) y Cibernesismo Cibernético de terceros. Los pasajeros también pueden acceder a una línea de soporte y un sitio web dedicados para obtener más información, pero es importante tener en cuenta que no ha habido impacto en las operaciones de vuelo o la seguridad, y cualquiera que se haya reservado para volar con Qantas en las próximas semanas no debería necesitar ninguna medida. Con el impacto inmediato del incidente contenido, Qantas y el proveedor de terceros víctimas se trasladarán a una fase de investigación y remediación. En este momento, puede surgir que los atacantes penetraron más profundamente en los sistemas de las organizaciones de lo que se pensaba, o pudieron acceder a datos aún más sensibles, pero igualmente esto puede resultar no ser así. Es probable que sean más comunicaciones sobre el asunto en los próximos días y semanas, pero ausentes fugas o declaraciones de representantes de pandillas, es posible que nunca se realicen una atribución firme a una araña dispersa.