American Airlines, a maior companhia aérea dos EUA, parece ser mais uma vítima da vulnerabilidade MOVEit. Especificamente, Hackers de gangue de ransomware Cl0p reivindicam o ataque bem-sucedido contra o co. A postagem em seu site de vazamento Darknet não revela muito, mas a empresa provavelmente já está em negociações com hackers.
O que é American Airlines?
Entre algumas companhias aéreas nos EUA, American Airlines é um pouco especial. A empresa não está apenas entre as companhias aéreas mais antigas, ser 97 anos, mas é também a maior empresa do seu setor (por fluxo de passageiros). Ser membro de vários sindicatos de companhias aéreas, fornece serviços regionais e internacionais (incluindo transatlântico) voos. Uma empresa tão grande não é brincadeira, e para atacá-lo você deve ser excepcionalmente corajoso e confiante – ou extraordinariamente imprudente.
American Airlines hackeada por Cl0p
Durante o último mês, Cl0p recebeu mais atenção do que nunca. Tudo é devido ao uso extensivo – e bem-sucedido – das vulnerabilidades MOVEit MFT. O conjunto gerenciado de transferência de arquivos parecia vulnerável a vários cenários de exploração, que permitiu tanto o acesso inicial quanto o movimento lateral. Nós lançamos a chain of articles on this topic – considere dar uma olhada se você perdeu aquela bagunça.
Mas voltando ao ataque do Cl0p à American Airlines. Seus hacks não são brincadeira, como cada um deles é comumente complementado não apenas com ataques de ransomware, mas também extensa extração de dados. A gangue leva tudo o que encontra, e no caso da American Airlines, o lista de possíveis categorias de dados é enorme. O que é pior, a empresa mantém muitos registros sobre seus passageiros – o que é natural para qualquer organização que tenha que lidar com um fluxo tão grande de clientes. Outra coisa natural, porém, é o interesse dos hackers em colocar as mãos nesses dados.
Ainda, é muito cedo para quaisquer preocupações e questões de privacidade. Não está claro se a empresa planeja pagar o resgate ou ignorar os requisitos. Somente neste último caso o Cl0p publicará os dados ou os colocará à venda, no local do vazamento ou em outro lugar. A empresa, porém, reivindicou o ataque por meio de terceiros – especificamente, Aplicativo de credenciais piloto. No entanto, este ataque provavelmente não está relacionado, já que Cl0p não listou outra vítima das credenciais do piloto – Sudoeste Companhias Aéreas. Além disso, o próprio site do aplicativo também não está presente no site de vazamento. Tudo isto aponta para o facto de estarmos a assistir a uma nova violação.
Quão perigoso esse hack pode ser?
Bem, como eu disse, Cl0p não é um grupo de hackers que faz brincadeiras de criança. O hack deles provavelmente afeta informações internas da empresa, incluindo informações sobre sua equipe e situação financeira. Este último pode ser excepcionalmente sensível, como durante a pandemia, a empresa teve algumas sérias dificuldades financeiras. Desvendá-los pode não ser muito agradável para a empresa, além de mostrar como eles superaram esses problemas.
Outro lado de um problema, na verdade, um mais sensível, toca na possibilidade de vazamento de dados de clientes. Isso traz problemas não apenas para quem voa com a American Airlines, mas também a possibilidade de consequências jurídicas para a empresa. Fica ainda pior quando lembramos que os hackers geralmente cobram um preço incrivelmente alto para manter em segredo alguns dados realmente importantes.. Esse número às vezes pode até exceder a soma do resgate para descriptografia de arquivo.
No entanto, esses são apenas meus palpites. O mesmo que qualquer pessoa interessada em segurança cibernética faz, Ficarei de olho em ambos os boletins informativos, as reivindicações públicas da empresa e site Darknet do Cl0p. Está quase claro que todos os detalhes aparecerão em uma ou duas semanas.