Банда утверждает, что украла больше данных Air Canada, чем признает компания

Банда BianLian, занимающаяся вымогательством, заявляет, что Air Canada не откровенничает об объеме данных, украденных в результате кибератаки в прошлом месяце.

В прошлом месяце авиакомпания заявила, что злоумышленник «на короткое время получил ограниченный доступ к внутренней системе Air Canada, связанной с ограниченной личной информацией некоторых сотрудников и определенными записями». В заявлении не сказано, сколько данных было скопировано.

Но на этой неделе, пытаясь оказать давление на авиакомпанию, банда заявила на своем сайте утечки данных, что компания «говорит только полуправду. Персональные данные сотрудников — это лишь малая часть ценных данных, над которыми они потеряли контроль. Например, у нас есть базы данных SQL с техническими проблемами компании и проблемами безопасности».

Банда утверждает, что располагает техническими и эксплуатационными данными Air Canada за период с 2008 по 2023 год, информацией о технических проблемах и проблемах безопасности компании, резервными копиями SQL и неуказанными конфиденциальными документами, а также личными данными сотрудников.

В качестве доказательства он опубликовал скриншот с именами предполагаемых украденных файлов, образцы которых доступны для просмотра.

Бретт Кэллоу, аналитик угроз Emsisoft из Британской Колумбии, который повторно опубликовал сообщение банды на X, не знает, действительно ли перечисленные данные принадлежат Air Canada.

Мир ИТ Канады попросил у авиакомпании комментарий.

Банда также пытается представить себя в хорошем свете, заявляя, что она не устанавливала программы-вымогатели, а лишь украла данные. «Осознавая потенциальный ущерб, мы не нанесли никакого ущерба [Air Canada’s] инфраструктуры или внутренних ресурсов, только операция по краже данных», — говорится в сообщении.

Как и многие другие банды, занимающиеся вымогательством, BianLian использует двойную стратегию вымогательства: копирует данные и угрожает продать или отдать их, а также шифрует как можно больше серверов. Затем организации вынуждены платить за возврат украденных данных, а также за ключи дешифрования.

Однако, по словам Кэллоу, с конца прошлого года компания прекратила шифрование данных жертв и сосредоточилась на краже информации. Или, добавил он, он все еще может проводить атаки с использованием программ-вымогателей, но под другим именем.

По его словам, причин для смены стратегии может быть несколько: банда может полагать, что надзор за кодом шифрования и управление ключами дешифрования «не являются необходимыми для получения прибыли». Они также могут надеяться, что простая кража данных сделает банду менее мишенью для правоохранительных органов, которые активно участвуют в громких атаках. И БяньЛиан может надеяться, что у организаций будет «меньше моральных возражений» платить тем, кто воспринимается исключительно как преступная группа, а не как банда, занимающаяся программами-вымогателями.

Однако Кэллоу согласился: выплата выкупа преступной группировке по-прежнему поощряет кибератаки.