Un'organizzazione di hacker ha preso di mira tre compagnie aeree in poche settimane

Nelle ultime tre settimane, tre grandi compagnie aeree internazionali — WestJet (Canada), Hawaiian Airlines (Stati Uniti) e Qantas (Australia) — hanno confermato pubblicamente attacchi informatici ai loro sistemi. Secondo esperti di cybersicurezza, altre compagnie potrebbero essere state colpite.

I fatti chiave

• WestJet ha segnalato un incidente di sicurezza informatica a partire dal 13 giugno, che ha interessato i sistemi interni e, potenzialmente, l’accesso dei clienti alla sua app e al suo sito web.
• In un documento depositato alla Securities and Exchange Commission, Hawaiian Airlines ha comunicato un evento di cybersicurezza cominciato il 23 giugno che ha colpito alcuni sistemi informatici.
• Il 27 giugno l’Fbi ha avvertito di aver osservato “il gruppo criminale informatico Scattered Spider ampliare i propri obiettivi includendo il settore aereo” e che “chiunque faccia parte dell’ecosistema dell’aviazione, inclusi fornitori e appaltatori fidati, potrebbe essere a rischio.”
• Charles Carmakal, chief technology officer di Mandiant, azienda di cybersicurezza sussidiaria di Google, ha scritto su LinkedIn di “molteplici incidenti nel settore aereo e dei trasporti” riconducibili alle tattiche di Scattered Spider, suggerendo che anche altre compagnie aeree potrebbero essere state prese di mira.
• Qantas Airlines, la compagnia aerea di bandiera australiana, ha riferito che lunedì si è verificato un incidente informatico in uno dei suoi call center, che ha esposto i dati un numero di clienti fino a sei milioni. Tuttavia, nel sistema non erano conservate informazioni su carte di credito, dati finanziari personali, dettagli dei passaporti o dati degli account Frequent Flyer.
• Diverse testate giornalistiche hanno riportato la scorsa settimana che Delta Air Lines ha bloccato l’accesso ad alcuni account SkyMiles dei clienti, ma la compagnia ha confermato a Forbes che si è trattato di una misura precauzionale e “non del risultato di una violazione dei sistemi Delta o dei suoi fornitori”.

Che cos’è Scattered Spider

Scattered Spider è una rete informale di hacker a cui vengono attribuiti numerosi attacchi informatici di alto profilo negli ultimi anni, inclusi quelli con ransomware nel 2023 contro Mgm Resorts e Caesars Entertainment, e più recentemente contro il rivenditore britannico Marks & Spencer e la compagnia assicurativa Aflac. Il gruppo è composto principalmente da giovani adulti e da alcuni adolescenti, per lo più madrelingua inglese, con base negli Stati Uniti, in Canada e nel Regno Unito, ha dichiarato Carmakal a Forbes.

Scattered Spider è noto per l’uso di sofisticate tecniche di ingegneria sociale, come il phishing, il Sim swapping e l’impersonificazione, per bypassare i sistemi di autenticazione a più fattori. “Una cosa che fanno probabilmente meglio di qualsiasi altro gruppo è l’ingegneria sociale, e una grande parte di quel successo è l’accento occidentale”, ha spiegato Carmakal. “Quando fingono di essere un dipendente di 24 anni di un’azienda negli Stati Uniti o nel Regno Unito, risultano credibili perché hanno 24 anni e vivono davvero in quegli stessi paesi.”

Una volta che si sono infiltrati nei sistemi di un’azienda, i gruppi di hacker spesso non si rivelano immediatamente, ha spiegato Alex Waintraub, esperto di gestione delle crisi informatiche di Cygnvs, che ha lavorato su centinaia di casi di riscatto. “In molti casi si muovono lateralmente all’interno della rete e cercano un’assicurazione informatica, un piano di risposta agli incidenti o un’analisi della situazione finanziaria dell’azienda, per valutare quale somma chiedere”. L’obiettivo è individuare la cifra massima che l’azienda sarebbe disposta a pagare per riottenere i dati rubati.

“Non voglio dire che ci sia onore tra ladri, perché sarebbe troppo generoso”, ha commentato Carmakal. “Ma credo che questi gruppi abbiano compreso il modello di business e si attengano a quel modello, così da continuare a guadagnare. E quel modello richiede loro di mantenere la parola data”.

Perché gli hacker prendono di mira le compagnie aeree

“L’aviazione è un settore ricco di dati, e le aziende spesso utilizzano sistemi legacy più vecchi, collegati a molteplici piattaforme di terze parti”, ha spiegato Waintraub. “Hanno enormi quantità di dati personali, informazioni sui programmi fedeltà e dettagli sui viaggi, ed è questo che le rende bersagli appetibili.”

Una possibile spiegazione del tempismo, secondo Carmakal, è semplicemente che siamo in alta stagione per i viaggi, con un weekend festivo imminente negli Stati Uniti. “Questi attori della minaccia non sono motivati solo dal denaro,” ha detto. “Cercano anche l’ego. Gli piace potersi vantare con gli amici e dire di essere responsabili di una certa notizia o di un disservizio.”

Il modus operandi di Scattered Spider consiste nel prendere di mira un settore colpendo più obiettivi prima di passare oltre. “Tendono a restare in quel settore per alcune settimane e colpire grandi organizzazioni”, ha detto Carmakal. “Non è necessario che siano le più grandi”.

Che cosa fanno le compagnie aeree

Carmakal ha aggiunto di essere a conoscenza di “diverse compagnie aeree” che hanno adottato modifiche per impedire a Scattered Spider di compromettere i loro sistemi. “Potrebbe essere un po’ più scomodo per i dipendenti fare certe operazioni, come il reset delle password”, ha spiegato. “Le persone prendono la minaccia molto sul serio. Sai, quando vedi un autore della minaccia ripetere lo stesso schema su molteplici vittime nello stesso settore, tutti iniziano a prestare attenzione”.

Che cosa non sappiamo

Quali altre compagnie aeree, eventualmente, siano state colpite non è ancora noto. “Praticamente tutte le compagnie aeree del Nord America sono in stato di massima allerta perché hanno ricevuto l’avvertimento”, ha detto Carmakal. “Di solito le comunicazioni ufficiali avvengono settimane dopo i fatti — ma non tutte le aziende sono obbligate a comunicarle. Dipende da quanto in profondità si è spinto l’attacco. Le aziende vittime potrebbero non essere ancora arrivate al punto dell’indagine in cui sanno se i dati sono stati davvero sottratti”.

Come sono toccati i consumatori

“I consumatori sono generalmente protetti dalle grandi istituzioni finanziarie se vengono esposti numeri di carte di credito”, ha affermato Carmakal. Se un malintenzionato utilizza un numero di carta, ad esempio, “riceverai una nuova carta e non sarai responsabile per eventuali acquisti fraudolenti”. La protezione contro il furto d’identità è invece più difficile, ha aggiunto, ammettendo che “i numeri di previdenza sociale sono stati rubati così tante volte da essere generalmente disponibili per qualsiasi attore della minaccia che voglia accedervi”. Come misura di buon senso, raccomanda di congelare il proprio credito presso le tre principali agenzie statunitensi di credito (Equifax, Experian e TransUnion), per impedire che qualcuno possa accendere un prestito a proprio nome.