Nhóm tống tiền BianLian tuyên bố đã tấn công Air Canada

Nhóm tống tiền BianLian tuyên bố đã đánh cắp 210GB dữ liệu sau khi xâm nhập vào mạng lưới của Air Canada, hãng hàng không lớn nhất Canada và là thành viên sáng lập của Star Alliance.

Trong khi Air Canada cho biết trong một thông báo vào tháng 9 rằng các hệ thống bị xâm phạm trong vụ vi phạm bao gồm “thông tin cá nhân hạn chế của một số nhân viên và một số hồ sơ nhất định”, nhưng những kẻ tấn công hiện cho rằng các tài liệu bị đánh cắp chứa nhiều thông tin sâu rộng hơn.

Các tác nhân đe dọa cũng chia sẻ ảnh chụp màn hình dữ liệu bị đánh cắp trên trang web rò rỉ dữ liệu web đen làm bằng chứng và mô tả chi tiết về những gì đã bị đánh cắp từ mạng của hãng hàng không.

BianLian tuyên bố đã lấy cắp dữ liệu kỹ thuật và vận hành từ năm 2008 đến năm 2023, bao gồm thông tin chi tiết về các thách thức kỹ thuật và bảo mật của công ty, bản sao lưu SQL, thông tin cá nhân của nhân viên, dữ liệu liên quan đến nhà cung cấp và nhà cung cấp, tài liệu bí mật và kho lưu trữ từ cơ sở dữ liệu của công ty.

Nhóm tội phạm mạng cho biết: “Dữ liệu cá nhân của nhân viên chỉ là một phần nhỏ trong số dữ liệu có giá trị mà Air Canada đã mất quyền kiểm soát”.

"Ví dụ: chúng tôi có cơ sở dữ liệu SQL với các vấn đề về kỹ thuật và bảo mật của công ty. Bạn có thể tự mình kiểm tra, gói demo có ảnh chụp màn hình có sẵn bên dưới. Các bản sao lưu với dữ liệu này có sẵn trên trang web của chúng tôi và theo yêu cầu của bạn." - BianLian cho biết.

BianLian là nhóm ransomware nhắm vào các tổ chức cơ sở hạ tầng quan trọng ở Hoa Kỳ và Úc kể từ tháng 6 năm 2022. Nhóm này chuyển sang các cuộc tấn công chỉ nhằm mục đích tống tiền vào tháng 1 năm 2023 khi Avast phát hành bộ giải mã cho ransomware của họ.



Trang rò rỉ BianLian của Air Canada (Brett Callow)



Trong một tuyên bố được chia sẻ với BleepingComputer ngày 11 tháng 10, Air Canada cho biết họ đã biết về các mối đe dọa tống tiền của BianLian nhưng không xác nhận tuyên bố của nhóm về vụ vi phạm.

Một phát ngôn viên của Air Canada nói với BleepingComputer qua email: “BianLian đã đe dọa sẽ lợi dụng phương tiện truyền thông để thực hiện việc tống tiền không thành công của chúng”.

“Vì lý do này, chúng tôi không thể bình luận về bất kỳ khiếu nại nào được đưa ra bởi một nhóm ẩn danh dựa trên tội phạm mạng và chúng tôi sẽ không bổ sung thêm bất cứ điều gì vào những gì chúng tôi đã nói công khai. Chúng tôi tin rằng giới truyền thông sẽ xem xét điều này và đưa tin về những vấn đề như thế này một cách có trách nhiệm.”

Hãng hàng không Canada vẫn chưa tiết lộ có bao nhiêu nhân viên bị ảnh hưởng bởi vụ việc, ngày mạng của họ bị xâm phạm và thời điểm vụ tấn công được phát hiện.

Air Canada cũng cảnh báo một số khách hàng của mình trong các email được gửi ngày 11 tháng 10 hãy kích hoạt xác thực đa yếu tố dựa trên SMS trên tài khoản Aeroplan và sử dụng mật khẩu mạnh để bảo vệ khỏi các cuộc tấn công nhồi nhét thông tin xác thực (credential stuffing) và sử dụng một vài mật khẩu (password spraying)

Air Canada yêu cầu khách hàng bảo mật tài khoản của họ (BleepingComputer)