La compagnie aérienne australienne Qantas a révélé qu’elle avait détecté une cyberattaque lundi après que des acteurs de la menace eurent eu accès à une plate-forme tierce contenant des données sur les clients.
Qantas est la plus grande compagnie aérienne d’Australie, exploitant des vols intérieurs et internationaux sur six continents et employant environ 24 000 personnes.
Dans un communiqué de presse publié lundi soir, la compagnie aérienne déclare que l’attaque a été contenue, mais qu’une quantité « importante » de données aurait été volée. La violation a commencé après qu’un acteur de la menace a ciblé un centre d’appels de Qantas et a eu accès à une plate-forme de service client tierce.
« Lundi, nous avons détecté une activité inhabituelle sur une plate-forme tierce utilisée par un centre de contact d’une compagnie aérienne Qantas. Nous avons ensuite pris des mesures immédiates et confiné le système. Nous pouvons confirmer que tous les systèmes de Qantas restent sécurisés », a déclaré Qantas.
« Il y a 6 millions de clients qui ont des antécédents de service sur cette plate-forme. Nous continuons d’enquêter sur la proportion des données qui ont été volées, même si nous nous attendons à ce qu’elle soit importante. Un premier examen a confirmé que les données incluent les noms, adresses e-mail, numéros de téléphone, dates de naissance et numéros de fidélisation de certains clients. »
Qantas affirme qu’aucune carte de crédit ou information financière personnelle n’a été exposée et que les mots de passe, codes PIN et informations de connexion des comptes de fidélisation n’ont pas été affectés.
Après avoir détecté la violation, Qantas a déclaré avoir informé le Centre australien de cybersécurité, le Bureau du Commissaire australien à l’information et la Police fédérale australienne. On ne sait pas si des experts externes en cybersécurité participent à l’enquête.
Des attaques d’araignées dispersées ciblent des entreprises aéronautiques
Cette attaque intervient alors que les entreprises de cybersécurité avertissent que les pirates informatiques connus sous le nom de « Scattered Spider » ont commencé à cibler les industries de l’aviation et des transports.
Bien qu’il ne soit pas clair si ce groupe est à l’origine de l’attaque de Qantas, Breachtrace a appris que l’incident partage des similitudes avec d’autres attaques récentes des acteurs de la menace.
Scattered Spider (également connu sous les noms de 0ktapus, UNC3944, Scatter Swine, Starfraud et Muddled Libra) est un groupe d’acteurs de la menace connus pour leurs attaques d’ingénierie sociale et d’identité contre des organisations du monde entier, utilisant couramment le phishing, l’échange de cartes SIM, le bombardement MFA et les appels téléphoniques du service d’assistance pour accéder aux informations d’identification des employés.
En septembre 2023, ils ont intensifié leurs attaques en piratant MGM Resorts et en chiffrant plus de 100 hyperviseurs VMware ESXi à l’aide du ransomware BlackCat après y avoir accédé en se faisant passer pour un employé. Ils se sont également associés à d’autres opérations de ransomware, telles que RansomHub, Qilin et DragonForce. Parmi les autres organisations ciblées par Scattered Spider figurent Twilio, Coinbase, DoorDash, Caesars, MailChimp, Riot Games et Reddit.
Après s’être récemment concentrées sur les sociétés de vente au détail et d’assurance, les entreprises de cybersécurité ont averti vendredi que Scattered Spider avait tourné son attention vers l’aviation, les récentes attaques contre Hawaiian Airlines et WestJet étant censées être liées aux acteurs de la menace.
Breachtrace a appris que lors de la violation de WestJet, des acteurs de la menace ont exploité une réinitialisation de mot de passe en libre-service pour accéder au compte d’un employé, qui a ensuite été utilisé pour violer le réseau.
Les acteurs de la menace ont utilisé une approche secteur par secteur pour leurs attaques, et il n’est pas clair s’ils en ont fini avec le secteur de l’aviation et quelle industrie sera la prochaine cible.
Les organisations qui se défendent contre ce type de menace doivent commencer par acquérir une visibilité complète sur l’ensemble de l’infrastructure, des systèmes d’identité et des services de gestion critiques.
Cela inclut la sécurisation des plates-formes de réinitialisation de mot de passe en libre-service, des services d’assistance et des fournisseurs d’identité tiers, qui sont devenus des cibles courantes de ces acteurs de la menace.
Google Threat Intelligence Group (GTIG) et Palo Alto Networks ont publié des guides sur le renforcement des défenses contre les tactiques connues de « l’araignée dispersée », avec lesquelles les administrateurs doivent se familiariser.
Parmi les autres cyberattaques récentes qui seraient associées à Scattered Spider, citons M&S, Co-op, Erie Insurance et Aflac.