Un acteur menaçant et opérateur présumé de ransomware porte le pseudonyme USDoD. Données divulguées Plus de 3 000 fournisseurs du géant de l’aviation Airbus ont été attaqués après le piratage des systèmes de l’organisation à l’aide d’un compte client piraté appartenant à Turkish Airlines.
D’après Hudson Rockqui a été le premier à identifier l’incident émergent, l’USDoD avait déjà acquis une certaine notoriété lorsqu’il s’est rendu sur le forum secret Breached fin 2022 pour soumettre un ensemble de données prétendument volées dans le système InfraGard du FBI.
Après la fermeture de Breached par la FedL’USDoD faisait partie d’un certain nombre d’utilisateurs qui ont migré vers BreachedForums. Puis, plus tôt en septembre, ils ont publié deux articles distincts, l’un prétendant rejoindre une nouvelle équipe de ransomwares appelée Ransomed, et l’autre un fil de discussion contenant les informations personnelles des employés de 3 200 fournisseurs d’Airbus.
Cet ensemble de données comprend des noms, des adresses et des coordonnées, et concerne un grand nombre d’organisations sensibles, notamment Rockwell Collins et Thales. Selon Hudson Rock, ils auraient également affirmé viser Lockheed Martin et Raytheon.
Hudson Rock a pu confirmer les affirmations du département américain de la Défense selon lesquelles ils auraient pu atteindre Airbus via Turkish Airlines. La victime initiale a apparemment tenté de télécharger une copie piratée de Microsoft .NET Framework, mais a plutôt été victime du voleur d’informations RedLine, qui a amélioré ses informations d’identification, de sorte qu’elles ont été utilisées pour accéder aux systèmes d’Airbus.
“Les informations d’identification obtenues lors d’infections par vol d’informations, qui sont devenues un vecteur d’attaque initial majeur ces dernières années, fournissent aux acteurs de la menace des points d’entrée faciles dans les entreprises, facilitant ainsi les violations de données et les attaques de ransomwares”, ont écrit les chercheurs d’Hudson Rock.
« Les infections liées au vol d’informations, en tant que tendance de la cybercriminalité, ont augmenté de 6 000 % depuis 2018, ce qui en fait le principal vecteur d’attaque utilisé par les acteurs malveillants pour infiltrer les organisations et mener des cyberattaques, notamment des ransomwares, des violations de données, des contournements de comptes et des activités d’espionnage. » Ils ont dit.
L’équipe a ajouté que le Computer Emergency Response Team (CERT) d’Airbus leur avait confirmé qu’il s’agissait bien du vecteur d’attaque.
Un porte-parole d’Airbus a déclaré : “Airbus a ouvert une enquête sur un cyber-événement au cours duquel le compte informatique associé à un client d’Airbus a été attaqué. Ce compte a été utilisé pour télécharger des documents commerciaux destinés à ce client depuis le portail web d’Airbus.
Ils ont ajouté : « Nos équipes de sécurité ont pris des mesures correctives et un suivi immédiats pour éviter que nos systèmes ne soient compromis. »
“En tant qu’acteur majeur dans le domaine de la haute technologie et de l’industrie, Airbus est également une cible pour les acteurs malveillants. Airbus prend la cybersécurité au sérieux et surveille en permanence les activités sur ses systèmes informatiques, et dispose d’outils de sécurité robustes, d’experts en cybersécurité qualifiés et de processus associés pour protéger.” l’entreprise en prenant des mesures immédiates et appropriées en cas de besoin.
je vais partir « Les attaques contre la chaîne d’approvisionnement constituent une menace interne à laquelle toutes les organisations doivent se préparer, car elles constituent souvent une voie beaucoup plus facile pour les cybercriminels de pénétrer ou de contourner les défenses », a déclaré Samantha Humphreys, directrice principale de la stratégie de sécurité internationale. détails contractuels, les responsables de la sécurité doivent de manière réaliste jouer un rôle dans les discussions de diligence raisonnable concernant les risques des fournisseurs, mais également mettre en œuvre des processus et une surveillance pour s’assurer qu’ils peuvent détecter et répondre aux attaques de la chaîne d’approvisionnement.
« Cela fait en fin de compte partie du coût des affaires et doit être considéré comme un catalyseur commercial, ainsi que comme un objectif clé du point de vue des risques et de la conformité », a-t-elle déclaré.
“Malheureusement, ces types d’attaques continuent d’être des sources de revenus efficaces pour les adversaires, donc une préparation appropriée, y compris des exercices de backgammon, la surveillance des informations d’identification et la planification de la réponse aux violations, doit inclure des considérations relatives aux fournisseurs tiers et quatrièmes.”