2025年旅游威胁格局

趋势预测 11赛博智能，现属奇点公司解决方案攻击面监控威胁情报监控专业分析师服务结论与建议结论推荐附录合并TTP列表IOCS 由威胁行为者发起在赛富时之外的外部参考联系我们1. 针对预订和售票系统的DDoS攻击激增2. 通过配置不当的云存储增加数据泄露3. 利用员工凭证的钓鱼活动144. 通过第三方供应商的供应链攻击执行摘要3网络事件5值得关注的重大事件时间线5网络事件详情5该领域十大最关键战术技术程序10 121315 18202121222424263738旅行与旅游运营行业威胁格局2 执行摘要从 2023 年到 2025 年，全球旅游行业面临着定向网络攻击的激增，包括 DDoS 中断、勒索软件事件、因配置错误而导致的云存储数据泄露以及第三方供应链妥协。报告包含了一个涵盖全球的事件概述。它还包含了一份与攻击者相关的突出 TTP（工具和技术）清单以及一份应注意和封锁的相关 IOCs 清单。以下是Cyberint（现属于Check Point公司）基于相关事件预测的趋势：赛博智能，现已成为奇点天际公司，开展了一份针对旅游和旅游运营行业的威胁态势报告。以下报告概述了最新的网络安全事件、网络安全威胁预测，以及赛博智能服务作为减轻数字威胁解决方案的概述。 供应链妥协和第三方风险DDoS攻击导致订票系统瘫痪网络钓鱼和凭证利用旅行与旅游运营行业威胁格局 3通过配置错误的云存储的数据泄露攻击者正在使用先进的社会工程学技术，包括冒充和AI生成的钓鱼诱饵，来窃取员工凭证。这些攻击可以实现勒索软件部署、内部数据窃取和系统持久化。攻击者越来越多地使用高级工具和自动化脚本来识别和从暴露的云存储中窃取数据。缺乏强大DevSecOps实践的小中型旅行社仍然非常脆弱。攻击者正通过针对支付处理、身份验证和云基础设施中的供应商来绕过加固的边界，通常利用过时或易受攻击的应用程序来渗透核心系统并窃取敏感数据。这些攻击通常选择在出行高峰期进行，并利用行业对实时在线服务的依赖性。预计威胁行为者团伙将继续利用僵尸网络来瘫痪运营，从而导致勒索要求恢复服务。 旅游及旅游运营行业威胁格局 4为了应对这些不断变化的威胁，赛博智能（Cyberint，现属于奇虎360公司）为旅游行业外部风险环境提供持续定制的威胁情报（TI）和攻击面监控（ASM）。我们通过全面监控大量来源，检测恶意软件入侵的早期指标、暴露的资产和威胁行为者的活动。这种主动的情报方法使旅游组织能够领先于针对性威胁，并最大限度地减少运营和声誉影响。 网络事件值得关注的重大事件时间线图1：本报告涵盖的网络攻击时间线网络事件详情澳大利亚旅行社因公开暴露的AWS存储桶遭到攻击一个专业的航空机票整合商遭受DDoS攻击2023年5月法语旅行社勒索软件攻击2023年9月:美国主要度假胜地社会工程学和勒索软件网络攻击漏洞是由于一个公开暴露的配置错误的亚马逊AWS云存储桶造成的。这些攻击通常从搜索暴露的系统或配置错误的云存储开始。使用了工具或脚本扫描开放的S3桶或云存储服务（例如，Bucket Finder、S3Scanner、Shodan、Censys或Grayhat Warfare）。威胁行为者还利用基于关键字的自动化来查找密码.txt、.env、db_backup.sql等文件。2025年3月，一次网络攻击 disrupt 了 一 家 专业 航空 公司 机票 聚合商 的 运营，影响了 在 德国、奥地利、瑞士 及 全球 的 客户。他们的 预订 系统 受到 影响，原因是 可能 发生的 “DDOS” 攻击。2025年1月，一家澳大利亚旅行社遭到攻击，导致该公司26.8GB的非密码保护数据库中有112,000条记录遭到泄露，其中包括护照图像、旅行签证、旅行行程和机票等详细信息，以及部分客户的信用卡号码。包含超过13,000名客户详细信息的电子表格，包括他们的姓名、电子邮件地址、旅行费用和目的地，被发现已经泄露。虽然受影响的大部分旅行者是澳大利亚人，但来自新西兰、爱尔兰和英国的客户也受到了影响。 2023年10月:主要欧洲航空公司网络浏览攻击2024年12月：亚洲航空公司潜力DDoS攻击 旅行与旅游运营行业威胁格局 5 一个主要空中交通管制国家支持威胁行动者攻击2024年9月，伦敦交通局遭遇网络攻击，由于系统安全问题，他们临时暂停了访问卡的申请。2024年8月，负责德国空中交通管制内部办公通讯的管理IT基础设施遭到攻击。这使得未经授权访问敏感数据成为可能。此次攻击被认为是由与俄罗斯军事情报部门有关联的威胁行为者“费斯熊”（又名APT28）所为。一个欧洲主要国家的交通部门凭证访问和权限提升攻击攻击者据报道使用 LicensingUI.exe（一个已签署的 Windows 二进制文件）来执行载荷。TfL 不得不亲自重置 30,000 名员工的密码，这表明了泄露的规模。威胁行为者可能已建立持久性并提升权限，可能使用计划任务或管理员令牌。这也影响了注册新卡的能力，无法为使用非接触式卡完成的未完成按次付费旅程退款，以及改进Dial-a-Ride服务的预订系统。此外，实时旅游数据源也受到了影响。虽然现有预订得到了确认，但直到系统恢复之前，新的预订只能通过电话进行。5000人的数据被访问，包括姓名、联系方式和Oyster卡退款数据。这还包括银行账号和排序码。 旅游及观光运营行业威胁格局 6 美国主要机场勒索软件攻击2024年9月，由于Rhysida代理的网络攻击，美国一家主要机场的多个关键系统受到影响。攻击者从以前用于员工、承包商和停车数据的港口系统中访问并下载了一些个人信息（90000人）。下载的信息包括姓名、出生日期、社会保障号码（或社会保障号码的最后四位）、驾驶执照或其他政府身份证号码以及医疗信息。行李处理延误导致行李在旅客抵达后很久才送达。由于系统故障，乘客不得不使用手写的登机牌。内部港口系统被加密，阻碍了恢复过程。瑞西达行动者以“勒索软件即服务”（RaaS）模式运作，即将勒索软件工具和基础设施以利润分成模式租赁出去。瑞西达行动者已被观察到利用面向外部的远程服务来访问并持续存在于一个网络中。他们还被观察到使用被盗的合法凭证认证到内部VPN接入点，这尤其是因为组织中默认未启用MFA。此外，他们还被观察到利用了微软Netlogon远程协议中的关键权限提升漏洞Zerologon，以及成功实施了钓鱼攻击。 旅行及旅游运营行业威胁态势图 7 亚洲主要航空公司潜在DDoS攻击图2：受INCRansomware DLS影响的欧洲航空公司截图一个欧洲主要航空公司的网站信息窃取攻击2024年12月，一家主要亚洲航空公司遭受网络攻击导致航班延误。尽管航空公司未公开指明具体威胁行为者，但证实未泄露客户数据或检测到计算机病毒。该事件涉及流量激增，暗示是DDoS攻击，导致航空公司系统及票务销售中断。2023年10月，IncRansom（一个俄罗斯黑客组织）非法访问了航空公司的支付系统。虽然攻击方法尚未确认，但最可能是通过网络抓取实现的。该漏洞导致敏感客户数据泄露，包括信用卡信息，如卡号、有效期和CVV码。航空公司迅速通知了受影响的客户，并建议他们取消卡片以防止潜在的欺诈使用。2024年3月，航空公司更新了其信息披露，透露姓名、身份证或护照号码、出生日期、电话号码、电子邮件地址和国籍等额外的个人信息也已被泄露。 旅行及旅游运营行业威胁格局8 法国旅行社勒索软件攻击一个主要度假村社会工程和勒索软件网络攻击2023年9月，一家大型美国度假连锁企业遭受了网络攻击，这是Scattered Spider和ALPHV联合行动的结果。散播蜘蛛组织的成员在领英上研究了公司的员工以收集信息。他们伪装成一名员工，说服了IT帮助台提供登录凭证。有了这些凭证，攻击者获得了度假村的Okta和Azure环境的管理员访问权限，允许他们在系统中横向移动。ALPHV随后在多个VMware ESXi虚拟机管理程序服务器上部署了勒索软件。2023年5月，Lockbit攻击了一家法国旅行社。在旅行社拒绝支付赎金后，LockBit在暗网上发布了大约7000到10000份护照复印件。这些文件是从参加团体旅行的客户那里收集的，占该旅行社客户群的大约2%。Lockbit通过RaaS（勒索软件即服务）模式运作。请参阅附录了解其TTPs。这些服务器托管了数千台虚拟机，支持游戏机、在线预订系统、数字房间钥匙和网站等关键酒店系统。ALPHV还声称在此期间窃取了6 TB的客户信息，随后他们与度假村进行谈判，以防止被盗数据公开。（如需了解基于个别威胁行为者的TTPs和IOCs的更多信息，请参阅附录）。 旅游及旅游运营行业威胁图景 9 图3：与旅游运营和旅游行业相关的十大战术技术列表本行业最关键的10项TTPT1078有效账户用于几乎所有主要行为者的持久性和规避T1190利用面向公众的应用程序通用初始访问点（例如，Citrix，VPN漏洞）T1059命令和脚本解释器核心执行方法（Bash、PowerShell等）T1566网络钓鱼被勒索软件和APT行为者广泛用于初始访问T1027混淆文件或信息用于规避检测的关键防御规避技术T1055进程注入对规避杀毒软件/终端检测与响应以及提升权限至关重要T1003.003LSASS内存转储凭证收集，横向移动的关键T1021.001远程桌面协议 (RDP)适合横向移动和后渗透T1112修改注册表用于禁用保护，建立持久化T1486对影响进行加密的数据核心勒索软件活动-文件加密和勒索根据其影响、现实世界事件中的频率以及检测或减轻的难度，以下TTP已被列为严重。 旅行与旅游运营行业威胁格局 10 趋势预测每一项预测都专注于在2023-2025年之间观察到的特定攻击向量，并预测这些威胁将如何演变以及如何影响未来的旅游业务和运营。以下预测是从分析针对旅游行业和旅游业务运营的最新网络事件中得出的，包括DDoS攻击、配置错误的云存储、社会工程和勒索软件。 旅游及旅游运营行业威胁格局 11 1针对订房和售票系统的ddos攻击激增未来，威胁行为者可能会继续部署DDoS攻击，旨在通过使订票系统或航空公司订票平台不堪重负来破坏高峰旅行季节（例如，假期）。除了不断升级的地缘政治紧张局势之外，国家支持的网络攻击也可能会变得更加频繁和复杂，旨在破坏关键基础设施和金融系统，以 destabilize 经济。如果这一趋势持续下去，可能会出现敲诈勒索方案的增加，攻击者要求支付赎金以停止DDoS攻击，利用该行业对不间断服务的需求。这种策略在2024年的一次医疗保健勒索软件攻击中可见，其中BlackCat/ALPHV勒索数百万美元以恢复关键系统，突显了针对时间敏感型操作的目标盈利能力。最终这将要求该行业投资基于云的DDoS保护、审计供应商安全以及测试预订平台。2025年3月和2024年12月的主要攻击突显了涉及DDoS活动的重要攻击，这些攻击破坏了关键的预订和票务系统，导致运营延误和客户不满。这些攻击利用了旅游业对实时在线平台/系统的依赖。攻击者可能会利用由人工智能驱动的流量放大增强的僵尸网络来绕过传统的DDoS防御。在航空领域，大约1/4的事故源于供应商漏洞，为威胁行为者利用人工智能驱动的僵尸网络放大流量激增提供了途径。预算有限的小型旅行社可能会特别容易受到攻击，面临停机时间和收入损失。 旅游及旅游运营行业威胁态势 12 旅游与旅游运营行业威胁环境 13随着旅游和旅游业向云基础设施转型，尤其在缺乏强大网络安全控制的小型和中型企业中，配置不当的云存储将继续是遭受最多利用的漏洞之一。自动化扫描工具和人工智能驱动搜索策略的使用将只会加速，使攻击者能够大规模地识别和提取有价值的数据。我们可以预期有针对性地勒索和数据泄露基础欺诈案件的增加，这将促使监管机构加强合规标准，并迫使企业实施持续配置审计、严格访问控制和端到端加密策略。2025年，一家澳大利亚旅游公司在AWS云存储桶上未设置密码，导致其公开可访问，发生了一起重大数据泄露事件。作为结果，超过112,000份客户记录遭到暴露—