Sommario
L’ondata di attacchi informatici contro il settore dell’aviazione si intensifica, con Qantas – principale compagnia aerea australiana – costretta a confermare una violazione ai sistemi informativi in un contesto segnato dall’azione di gruppi criminali come Scattered Spider. Parallelamente, il provider russo Aeza Group viene ufficialmente sanzionato dalle autorità statunitensi per aver ospitato e facilitato server di ransomware, infostealer e altre campagne malware, evidenziando la sempre più stretta connessione tra infrastrutture digitali e cybercrime internazionale.
Attacco a Qantas di Scattered Spider
L’attacco che ha coinvolto Qantas è avvenuto in una fase delicata per il settore dell’aviaizone, già sotto pressione per una serie di incidenti che hanno visto il coinvolgimento di compagnie aeree, aeroporti e operatori logistici. Qantas ha confermato l’incidente dopo che clienti hanno segnalato accessi non autorizzati ai dati dei profili frequent flyer tramite la mobile app della compagnia, con esposizione di dettagli personali, saldo punti e prenotazioni recenti. Le prime indagini indicano che la compromissione non è stata causata da un bug sistemico o da una violazione su larga scala dell’infrastruttura centrale, ma da un sofisticato attacco di credential stuffing che ha sfruttato password riutilizzate e tecniche di phishing mirate. Il gruppo Scattered Spider è stato indicato come possibile autore, avendo già orchestrato campagne analoghe contro operatori USA e altre aziende nel settore dei servizi essenziali.
Qantas ha immediatamente avviato il reset forzato delle credenziali compromesse, rafforzato le policy di autenticazione a due fattori e notificato i clienti coinvolti. L’episodio conferma il trend: nel settore aviation, l’attacco ai singoli account utente è spesso preferito rispetto ai tentativi di penetrazione diretta dei sistemi core, sfruttando la debolezza delle pratiche di sicurezza individuali.
Aeza Group: sanzioni USA contro il provider dell’ecosistema ransomware
Sul fronte infrastrutturale, il Dipartimento del Tesoro USA ha inserito il provider russo Aeza Group nella lista delle entità sanzionate per aver ospitato server utilizzati da gruppi ransomware (come ALPHV/BlackCat, LockBit, Conti, Netwalker) e da reti di infostealer (RedLine, Raccoon, Vidar, Lumma). Le autorità hanno rilevato che Aeza ha deliberatamente fornito servizi “bulletproof” a operatori cybercriminali, garantendo anonimato, banda dedicata e rapida rotazione di indirizzi IP per eludere blacklist e misure di contrasto.
Aeza Group, attiva dal 2021 con sede dichiarata a San Pietroburgo, gestiva anche domini e VPS associati a campagne di phishing e malware banking. Le sanzioni prevedono il congelamento di asset USA, il divieto per aziende e cittadini statunitensi di intrattenere rapporti commerciali, e la collaborazione internazionale per la sospensione di domini e server utilizzati in campagne malevole.
Resilienza aviation e strategie di difesa contro credential stuffing
Per raggiungere la lunghezza richiesta, va sottolineato come il settore aviation debba investire non solo su tecnologie di protezione perimetrale, ma soprattutto su educazione degli utenti, monitoraggio attivo delle anomalie di login, sistemi anti-bot e gestione proattiva delle credenziali (compresi strumenti di breach monitoring e alert automatici). La segmentazione dei sistemi, l’adozione obbligatoria della MFA e il costante aggiornamento degli incident response plan sono oggi indispensabili per fronteggiare campagne sofisticate e attori come Scattered Spider.
