Nos dias 11 e 12 de novembro, o AirAsia Group, sediado na Malásia, foi vítima de um ataque de ransomware do grupo Daixin Team. Esses agentes de ameaças, cujas ações foram o tema de um alerta da CISA, informaram ao portal DataBreaches.net que nesse ataque obtiveram os dados pessoais de 5 milhões de passageiros e de todos os funcionários.
O porta-voz do grupo enfatizou que foram poupados arquivos com os sufixos XEN e RHEL. por exemplo – hosts de equipamentos de vôo como radares, controle de tráfego aéreo e outros. Essa declaração é consistente com as declarações que a equipe Daixin fez para o DataBreaches em outros incidentes nos quais foram poupados ativos cuja inutilização pudesse ser fatal. O porta-voz do grupo Daixin afirmou que a má organização na rede do Grupo AirAsia poupou a empresa de novos ataques. Embora o Daixin Team supostamente tenha criptografado muitos recursos e excluído backups, não foi feito o que normalmente fariam: a organização caótica da rede e a ausência de qualquer padrão causaram irritação no grupo e uma total falta de vontade de repetir o ataque.
O DataBreaches recebeu como prova dois arquivos ‘.csv’ que o Daixin Team também enviou ao AirAsia Group. Um dos arquivos continha informações sobre os passageiros. O segundo arquivo continha informações sobre os funcionários, entre as quais nome, data de nascimento, país e cidade de nascimento, data de início do emprego, sua “pergunta secreta”, “resposta” e sal.
Veja isso
Ataque atinge rede da Força Aérea Paquistanesa
American Airlines e TAP são vítimas de vazamento de dados
De acordo com um porta-voz do Daixin, a AirAsia respondeu ao ataque: um porta-voz da empresa logo entrou no chat com o grupo, pedindo ao negociador da Daixin uma amostra dos dados. Após receber a amostra, perguntou detalhadamente como os dados seriam excluídos em caso de pagamento. A AirAsia não tentou negociar o valor, o que pode indicar que nunca teve a intenção de pagar, afirma o portal DataBreaches: ‘Geralmente todo mundo quer negociar uma quantia menor’, disse o porta-voz do grupo ao portal. O grupo Daixin não informou quanto exigiu para fornecer uma chave de descriptografia, excluir todos os dados que eles haviam exfiltrado e informar o AirAsia Group sobre as vulnerabilidades que foram encontradas e exploradas.