La banda afirma que té al seu poder 430 GB d’arxius i, amb les dades obtingudes, assegura poder editar les reserves dels vols.

La ciberseguretat d’Iberia continua portant cua. El conegut grup de programari de segrest Everest afirma haver compromès 596 GB de dades internes de l’empresa. 

A la seva pàgina de filtracions es vanten d’haver aconseguit informació que inclou noms de clients, detalls de contacte, dates de naixement, informació de viatges i reserves, dades de targetes emmascarades i perfils de màrqueting. 

D’altra banda, el grup assegura haver aconseguit 430 GB de fitxers .eml, que contindrien més de 5 milions de registres. Amb aquests serien capaços de visualitzar la informació de reserves, però també editar-la. 

Des de Cybernews han investigat la declaració i tenen indicis que la banda no faroleja. Els fitxers .eml s’usen per emmagatzemar missatges de correus electrònics i les aerolínies solen incloure una part significativa dels detalls dels vols en aquests correus. Everest, expliquen, podria modificar la informació de les reserves fàcilment simplement tenint a mà un sol cognom i la referència de la reserva. 

Els ciberdelinqüents han demanat un rescat de 6 milions de dòlars a la companyia aèria, prometent que si reben el pagament no faran pública ni una sola reserva ni una sola dada personal.  

«Una fuga de dades completa tindria conseqüències catastròfiques tant per a clients com per a la companyia, i obriria les portes a una onada massiva de correu brossa i frau», comenten els ciberdelinqüents per pressionar el gegant espanyol.

Els investigadors assenyalen que la banda podria fins i tot canviar els itineraris dels vols, cosa que li donaria una gran capacitat de ‘negociació’ per demanar una quantia tan alta. Els danys financers a Iberia podrien ser molt grans.

Fa uns dies l’empresa va enviar un correu electrònic per avisar els seus clients que hi havia hagut un incident de seguretat a través d’un proveïdor extern, i assegurava que les credencials d’inici de sessió no havien estat robades. 

Ho va fer vuit dies després que Escudo Digital informés sobre una possible falla. Un actor d’amenaces afirmava a mitjans de mes que havia venut 77 GB de dades internes per 150.000 dòlars. En un post en un fòrum, el pirata informàtic comentava que havia aconseguit dades tècniques de l’A320/A321, arxius de manteniment d’AMP, informació del motor i altres documents interns.

Tenint en compte tot això, sembla que Iberia no va oferir el panorama complet i el forat de seguretat podria ser força més greu que l’identificat o comunicat inicialment. 

Des del departament de Comunicació d’Iberia ens comenten en relació amb aquesta darrera demanda del grup de programari de segrest Everest el següent: «Efectivament, vam tenir un accés no autoritzat a les nostres dades. Hem anat avisant tots els clients afectats. També ho denunciem davant de la UCO, l’Agència de Protecció de Dades i l’INCIBE. L’accés es va produir al repositori de comunicació allotjat i administrat per un tercer. La informació que conté aquest sistema d’intercanvi d’informació és limitada i no és operativa, per la qual cosa no s’ha posat en risc la seguretat dels vols. Hem establert mesures de seguretat addicionals, com ara un doble factor d’autenticació per a tots els afectats de manera que ningú (a part d’ells) pugui modificar la reserva o fer qualsevol gestió a través de l’APP, el web iberia.com o el call center. De moment, no hi ha constància que s’hagi fet alguna activitat fraudulenta amb aquestes dades».

L’ascens d’Everest

Everest ha estat operant des d’almenys desembre de 2020. Als seus inicis se centrava més en l’exfiltració de dades, amb fins d’extorsió. Però amb el temps va anar evolucionant cap a un model de ‘doble extorsió’.

Des d’almenys el 2021, el grup també actua com un broker d’accés inicial, i es dedica a aconseguir accessos inicials a xarxes corporatives vulnerades i, de vegades, venent-los a altres bandes criminals perquè duguin a terme l’atac complet.

Tot i que no es coneix amb exactitud des d’on opera, les seves víctimes solen estar a occident, i té al punt de mira empreses d’infraestructures crítiques als EUA i a Europa. Es creu que alguns dels seus membres resideixen a països de l’antiga Unió Soviètica o parlen rus. 

Entre les seves víctimes hi ha BMW, l’Aeroport de Dublín i, més recentment, l’empresa de roba esportiva Under Armour. Un informe publicat fa uns mesos indicava que Everest havia compromès més de 230 organitzacions des de la seva aparició.