Sabre investiga posible ciberataque tras amenaza de extorsionadores Dunghill Leak

Sabre, la colosal empresa de reservas de viajes, está actualmente investigando las alegaciones de un ciberataque después de que aparecieran en la página de filtraciones de un grupo de extorsión una serie de archivos supuestamente robados de la compañía.

Grupo de extorsión se atribuye la responsabilidad

El grupo de extorsión Dunghill Leak ha reivindicado la autoría del supuesto ciberataque en una lista publicada en su página de filtraciones en la dark web. Aseguran haber sustraído aproximadamente 1,3 terabytes de datos que incluyen bases de datos sobre ventas de billetes y rotación de pasajeros, datos personales de empleados e información financiera corporativa.

El grupo ha publicado una parte de los archivos que supuestamente robó, asegurando que el total de la información será compartida "próximamente".

Sabre en la mira

Sabre es un sistema de reservas de viajes y un importante proveedor de datos de pasajeros aéreos y reservas. Su software y datos se utilizan para gestionar las reservas de vuelos y hoteles, los check-ins y las aplicaciones. Numerosas aerolíneas y cadenas de hoteles estadounidenses dependen de la tecnología de esta compañía.

Se han visto capturas de pantalla que muestran varios nombres de bases de datos relacionadas con detalles de reservas y facturación que contienen decenas de millones de registros. Sin embargo, se desconoce si los hackers tuvieron acceso a las bases de datos en sí.

Algunas de las capturas de pantalla vistas contenían registros relacionados con empleados, incluyendo direcciones de correo electrónico y sus ubicaciones de trabajo. Una de las capturas de pantalla contenía nombres de empleados, nacionalidades, números de pasaporte y números de visado.

Varias capturas de pantalla mostraban formularios I-9 de EE. UU. de empleados autorizados para trabajar en el país. Varios pasaportes encontrados en la caché correspondían con empleados de Sabre, incluyendo un vicepresidente de la compañía, según sus perfiles de LinkedIn.

Origen desconocido del ataque

Se desconoce cuándo tuvo lugar la supuesta brecha, pero las capturas de pantalla publicadas por el grupo de extorsión muestran datos que parecen ser tan recientes como de julio de 2022.

¿Quién es Dunghill Leak?

Poco se sabe sobre Dunghill Leak, excepto que es un grupo de ransomware y extorsión relativamente nuevo que evolucionó o se rebrandeó a partir del ransomware Dark Angels, que a su vez procedía del ransomware Babuk, según los investigadores de seguridad de Malwarebytes. Hasta la fecha, Dunghill Leak se ha atribuido la responsabilidad de haber atacado al fabricante de juegos de monedas Incredible Technologies, al gigante alimentario Sysco y al fabricante de productos automotrices Gentex.

Es habitual que los grupos de ransomware y extorsión prescindan completamente del cifrado de archivos y se centren en amenazar con publicar datos sensibles si no se paga un rescate. El FBI y la policía internacional llevan mucho tiempo recomendando a las víctimas de ransomware y extorsión que no paguen el rescate.

La última vez que Sabre informó de un incidente de seguridad fue en 2017, después de que los hackers extrajeran un millón de tarjetas de crédito de su sistema de reservas de hotel. La empresa pagó 2,4 millones de dólares para resolver las alegaciones presentadas por varios estados tras la brecha.