La aerolínea australiana Qantas ha revelado que ha sido contactado por un «cibercriminal potencial» en relación con una violación masiva de los datos del cliente. Qantas está trabajando actualmente para validar la autenticidad del supuesto cibercrimen. No se han proporcionado detalles sobre la naturaleza exacta del contacto, como si se ha exigido un pago de rescate. «Como se trata de un asunto criminal, hemos contratado a la Policía Federal de Australia y no comentaremos más sobre los detalles del contacto», escribió la firma en una actualización de incidentes el 7 de julio. «No hay evidencia de que se hayan publicado datos personales robados de Qantas, pero con el apoyo de expertos en seguridad cibernética especialistas, continuamos activamente monitoreando», agregó Qantas. La aerolínea confirmó que no se ha detectado más actividad de amenaza en el sistema después de contener el incidente el 30 de junio. «Podemos confirmar que todos los sistemas Qantas siguen siendo seguros», declaró la aerolínea. La violación confirmada de los datos personales de los clientes el 2 de julio, la aerolínea reveló que había sufrido un incidente cibernético que puede haber llevado al compromiso de un volumen «significativo» de información personal que pertenece a los clientes. Aunque no especificó cuántos clientes pueden verse afectados, los informes sugieren que la cifra podría ser tan alta como seis millones. Leer más: Las crecientes amenazas cibernéticas que afectan a las principales aerolíneas, los atacantes se dirigieron a un centro de llamadas y obtuvieron acceso a una plataforma de servicio de clientes de terceros para comprometer los datos. En la última actualización, Qantas dijo que estará en condiciones de actualizar a los clientes sobre los tipos de sus datos personales contenidos en el sistema comprometido a finales de esta semana (w/c 7 de julio). Esto confirmará campos de datos específicos para cada individuo, que variarán de un cliente a otro. Una revisión inicial ha confirmado que los detalles de contacto personal y de vuelo han sido robados para algunos clientes. Estos son: Nombres de las direcciones de correo electrónico Números de teléfono Fechas de nacimiento Números de volante frecuentes No se mantuvieron detalles de tarjeta de crédito, información financiera personal o detalles del pasaporte en el sistema afectado. Si bien se accedió a algunos números de volantes frecuentes, no se comprometieron las cuentas de volantes frecuentes, ni se accedieron contraseñas, pasadores o detalles de inicio de sesión. Todos los miembros del volante frecuente recibieron una comunicación por correo electrónico inicial de Qantas el miércoles 2 de julio, para asesorarlos sobre la ocurrencia de un incidente. Además, todos los clientes impactados de 15 años o más para quienes Qantas tiene una dirección de correo electrónico fue notificada en un segundo correo electrónico el jueves 3 de julio. Se ha instado a los clientes a estar alertas por comunicaciones inusuales que afirman ser de Qantas o solicitar información o contraseñas personales. «Qantas nunca contactará a los clientes que soliciten contraseñas, reservan detalles de referencia o información confidencial de inicio de sesión», escribió la compañía. Crédito de la imagen: Airdanme/Shutterstock.com URL de publicación original: https://www.infosecurity-magazine.com/news/qantas-contacted-cybercriminal/
Etiqueta: Revista de infosecuridad
Hunters International ha sido vinculado a Hive, otro grupo RAAS que fue desmantelado en enero de 2023 como parte de una operación global de aplicación de la ley. Según el sitio web de seguimiento de ransomware Ransomware.Live, Hunters International ha estado activo desde octubre de 2023 y ha reclamado a 307 víctimas hasta la fecha. Estos incluyen una clínica de cirujanos plásticos estadounidenses con una oficina en Beverly Hills (octubre de 2023), la subsidiaria de Londres del Banco Industrial y Comercial de China (ICBC), un banco estatal chino (septiembre de 2024), Autocanada (septiembre de 2024) y Tata Technologies (marzo de 2025). Las últimas víctimas conocidas del grupo se publicaron en su sitio de fuga de datos el 27 de mayo de 2025. A pesar del mensaje del grupo, no hay una clave de descifrado disponible en el sitio web del grupo al momento de escribir. Un analista de amenazas de ProDaft conocido como 3XP0RT, quien vio por primera vez el aviso de derribo del grupo, dijo al arriesgado medio de comunicación comercial que las claves de descifrado se están poniendo a disposición a través de los cazadores de backend. «Tenemos información de que las víctimas deben iniciar sesión en un portal mencionado en la nota de rescate utilizando sus credenciales existentes para obtener el software de descifrado», dijo 3XP0RT. Hunters International se despedió del cifrado antes del mensaje del 3 de junio, los administradores de Hunters International expresaron su disposición a cesar la extorsión cibernética basada en el ciebro varias veces. Según varios informes del Grupo-IB, los operadores del grupo publicaron una nota interna en ruso a sus socios sobre el final del proyecto del 17 de noviembre de 2024. «En una especie de ‘carta de despedida’, el liderazgo del grupo afirmó que el negocio de ransomware se ha convertido en un informe de riesgo y no es informativo debido a las acciones tomadas por los organismos gubernamentales y el impacto negativo causado por la geopolítica en curso global», los investigadores de un grupo de grupos explicaban en un informe en un informe de Abril 225, 2025. Los Operadores Internacionales de Hunters publicaron un nuevo proyecto el 1 de enero de 2025, bajo el nombre World Leaks. En lugar de encriptar los datos de sus víctimas y realizar una doble extorsión, el nuevo grupo cambiaría a ataques sin cifrado y solo extorsión. Según Ransomware.live, World Leaks ha estado activo desde el 18 de mayo de 2025, solo unos días antes de las últimas víctimas de Hunters International, y ha reclamado 31 víctimas hasta la fecha. En particular, se cree que World Leaks realizó una campaña de extorsión cibernética contra un proveedor externo de Swiss Bank UBS en junio de 2025, lo que llevó a 130,000 empleados de UBS a tener sus datos publicados en la web oscura. Sin embargo, un informe del Grupo-IB, compartido con Infosecurity, sugirió que la historia de Hunters International podría ser más complicado que un cambio de marca simple. El informe, inicialmente compartido con los clientes de la empresa como una notificación de TLP: Amber en enero de 2025, indicó que un administrador internacional de cazadores publicó una nota en el panel de afiliados del grupo el 18 de enero para informarles que el «proyecto» aún no estaría cerrado. Después de ser traducido del ruso al inglés, la nota decía: «Nos complace informarle que la decisión colectiva era reanudar el trabajo del proyecto de cifrado de datos». Según el informe del Grupo-IB, el operador afirmó que la decisión se tomó después de que el nuevo «proyecto», World Leaks, contenía «muchos errores». ‘Dissent Doe’, un blogger de ciberseguridad seudónimo y autor del sitio web DatabReaches.net, informó el 3 de julio que un portavoz de World Fuge les dijo que el grupo de personas que inició World Lotes se había separado de la compañía con algunos cazadores de administradores internacionales sobre el uso del cifrado. «Fuimos parte de ellos, pero separados debido a las diferencias en las opiniones e ideas. La principal diferencia es que no queremos dañar a las empresas al bloquear su operabilidad», dijo el portavoz. «La extorsión de datos es un modelo de negocio mucho mejor porque no hace que las empresas sean inoperables y aumente la ciberseguridad general para proteger los datos de los clientes privados», agregaron. Sin embargo, en su último mensaje en inglés que anuncia el cierre de sus operaciones, Hunters International no ha mencionado las filtraciones mundiales o el hecho de que las personas anteriormente asociadas con el Grupo RAAS continuarían realizando campañas de extorsión cibernética. Un cambio de marca sigiloso a las filtraciones mundiales que hablan de Infosecurity, un portavoz del Grupo IP dijo que los analistas de inteligencia de amenazas de la firma evaluaron «con gran confianza» que World Leaks es un proyecto operado por individuos previamente involucrados en la administración de Hunters International. Aunque el grupo detrás de Hunters International no ha reconocido públicamente ninguna conexión con las filtraciones mundiales, el portavoz del Grupo IB dijo que su investigación indicó que las comunicaciones internas sugirieron una transición coordinada a las filtraciones mundiales. «La ausencia de cualquier referencia al mundo fugas en [the July 3] El mensaje parece intencional y probablemente esté diseñado para controlar la narrativa y la atribución de retraso «, agregaron. Los analistas de inteligencia de amenazas reconocieron que el grupo de administradores que anteriormente ejecutan cazadores internacionales pueden haberse dividido en dos grupos, uno que cerró las operaciones y la otra que continúa la actividad de extorsión sin cifrado bajo las filtraciones mundiales. En cambio, es más probable que los administradores cambiaran de nombre en un movimiento hacia «la distancia del mundo de la distancia de la etiqueta de ransomware». “Continuar bajo el nombre internacional de Hunters, que estaba fuertemente asociado con la doble extorsión, podría confundir a las víctimas o conducir a una mala atribución. La disociación de una entidad conocida permite al grupo evadir el escrutinio inmediato y el equipaje de reputación. Esta táctica también les ayuda a mantener la ilusión de la integridad operativa mientras continúa las actividades ilícitas bajo una nueva apariencia. El momento y la vaguedad de su anuncio de cierre refuerzan esta interpretación «, agregó el Grupo-IB. Finalmente, los analistas del Grupo-IB evaluaron que, si bien no han podido verificar su efectividad, la versión aparente de las claves de descifrado gratuito está lejos de ser un mero» gesto de buena voluntad «como el grupo reclama. táctica. » URL de publicación original: https://www.infosecurity-magazine.com/news/ransomware-hunters-international/