De beruchte cybercriminele groep Octo Tempest, ook wel bekend als Scattered Spider, heeft een nieuw doelwit gevonden: de luchtvaartsector. Na eerdere aanvallen op onder meer retailketens, hotelbedrijven en verzekeraars, nemen de hackers het nu op tegen luchtvaartmaatschappijen. Microsoft luidt de noodklok in een uitgebreid blog en geeft een verontrustend inkijkje in de werkwijze van de groep. En in hoe de aanvallen steeds slimmer, sneller en geraffineerder worden.
Octo Tempest is geen doorsnee hackgroep die op goed geluk phishingmails rondstuurt. Ze staan bekend om hun slimme, mensgerichte aanvallen waarbij technologie en sociale manipulatie hand in hand gaan. Hun tactieken zijn inmiddels zo ontwikkeld dat ze vaak al diep in een systeem zitten voordat iemand überhaupt doorheeft dat er iets mis is.
Volgens Microsoft is het verplaatsen van hun focus naar de luchtvaart een strategische zet. Luchtvaartmaatschappijen beheren gevoelige gegevens, draaien op complexe IT-infrastructuren en hebben weinig ruimte voor uitval. Kortom: een aantrekkelijk doelwit, waar elke minuut downtime geld kost — en veel ook.
Wat Octo Tempest zo gevaarlijk maakt, is hun gebruik van social engineering. In plaats van brute force-aanvallen of geavanceerde malware, richten ze zich op mensen. Medewerkers krijgen bijvoorbeeld een sms van iemand die zich voordoet als een collega van de IT-afdeling. Of er wordt zogenaamd contact opgenomen met een helpdeskverzoek dat nét echt genoeg lijkt om serieus te nemen.
En vaak lukt het nog ook. Want wie verwacht er nou dat een vriendelijk verzoek om ‘even snel in te loggen’ leidt tot een volledig datalek? Die menselijke zwakte benutten ze keer op keer, en met succes.
Wat ook opvalt, is dat Octo Tempest hun aanvalspatroon heeft aangepast. Waar cybercriminelen vroeger meestal eerst binnenkwamen via een lokaal netwerk en pas later de cloud onderzochten, doet deze groep het omgekeerd — of beter gezegd: tegelijk.
Vanaf het eerste moment proberen ze zowel interne systemen als cloudomgevingen zoals Microsoft 365 te compromitteren. Dat maakt hun operaties niet alleen gevaarlijker, maar ook lastiger op te sporen. IT-teams hebben minder tijd om te reageren, en de impact is vaak groter omdat de aanval meerdere kanten tegelijk opgaat.
Gelukkig zitten bedrijven niet volledig met lege handen. In het blog legt Microsoft uit hoe hun technologie helpt bij het herkennen én afweren van Octo Tempest-aanvallen. Met tools als Defender, Sentinel en Entra ID kunnen verdachte acties snel worden opgespoord — en in sommige gevallen zelfs direct worden geblokkeerd.
Denk aan automatische meldingen bij afwijkend gedrag, het uitschakelen van verdachte sessies of het tijdelijk blokkeren van accounts die mogelijk zijn overgenomen. Het idee is om aanvallers geen tijd te geven om hun slag te slaan, en bij voorkeur al te stoppen voordat ze echt schade aanrichten.
Naast die technologische bescherming geeft Microsoft ook een aantal praktische aanbevelingen waar organisaties direct mee aan de slag kunnen. Zo wordt phishing-resistente multi-factor authenticatie (MFA) sterk aangeraden — denk bijvoorbeeld aan beveiligingssleutels of biometrische methoden die moeilijker te misbruiken zijn dan sms-codes.
Ook het instellen van attack surface reduction-regels helpt om risico’s op endpoints te verkleinen, net als het beperken van toegangsrechten tot gevoelige data. Wie toegang heeft tot wat, moet goed worden gemonitord — en vooral: regelmatig worden herzien.
Daarnaast wijst Microsoft op het belang van identity protection, waarbij gedrag van gebruikers wordt geanalyseerd om afwijkingen op te sporen. Een medewerker die ineens vanaf een onbekende locatie inlogt of op ongebruikelijke tijden actief is? Dat kan een signaal zijn dat er iets niet klopt — en de aanleiding om direct in te grijpen.
De aanvallen op luchtvaartbedrijven zijn op zichzelf al zorgwekkend. Maar ze zeggen ook iets over de manier waarop cyberdreigingen zich ontwikkelen. Hackersgroepen zoals Octo Tempest veranderen hun aanpak continu, spelen slim in op nieuwe kwetsbaarheden en zijn niet bang om ook complexe sectoren aan te vallen.
Wat je als organisatie ook doet, de les is duidelijk: wacht niet met actie tot het misgaat. Zorg dat je security op orde is, dat medewerkers getraind zijn en dat je weet hoe je moet reageren als het wél een keer fout loopt.
De analyse van Microsoft laat zien dat het mogelijk is om aanvallen tijdig te stoppen — maar alleen als techniek en mens goed samenwerken. Blijf dus alert, blijf investeren in je beveiliging en onderschat nooit de kracht van een goed vermomde nep-sms.
