CoinbaseCartel reivindica acesso à Panasonic Avionics, fornecedora de IFE para mais de 200 companhias aéreas
O grupo de extorsão CoinbaseCartel reivindicou acesso ao domínio panasonic.aero em 22 de maio de 2026. A Panasonic Avionics atende mais de 200 companhias aéreas e cobre cerca de 70% da frota global de aeronaves equipadas com sistemas IFE.
O grupo de extorsão CoinbaseCartel publicou em 22 de maio de 2026 a reivindicação de acesso ao domínio panasonic.aero, afetando a Panasonic Avionics Corporation, a divisão responsável por sistemas de entretenimento a bordo, conectividade Wi-Fi e comunicações de aeronave. A divulgação foi rastreada pelo serviço Ransomware.live e reportada pelo SC Media. A Panasonic Avionics não havia se pronunciado publicamente até o fechamento desta matéria, e nenhuma autoridade reguladora confirmou o incidente de forma independente.
A Panasonic Avionics não é um fornecedor periférico para a indústria aérea: a empresa atende mais de 200 companhias aéreas e cobre aproximadamente 70% da frota global de aeronaves equipadas com sistemas de entretenimento a bordo (IFE), segundo dados da própria empresa. Seus sistemas embarcados operam em aeronaves da Boeing, Airbus e Bombardier. Sua plataforma de nuvem processa dados de passageiros, registros de voos e atualizações de conteúdo digital em tempo real, o que significa que um comprometimento de seu ambiente de dados afeta, por extensão, a cadeia de informações de cada operadora cliente.
CoinbaseCartel: extorsão sem criptografia
Ao contrário de grupos como LockBit ou ALPHV, o CoinbaseCartel não criptografa sistemas das vítimas. Sua operação baseia-se exclusivamente em exfiltração de dados, o que significa que as organizações atingidas não sofrem interrupção operacional imediata, mas são colocadas sob pressão de divulgação pública de informações confidenciais. O grupo registra 170 vítimas confirmadas em 34 países, com o setor de tecnologia respondendo por 49 desses casos, segundo dados do Ransomware.live.
O vetor de acesso inicial é consistente: credenciais roubadas por infostealers, exploradas antes que as organizações façam rotação de senhas. Pesquisadores de threat intelligence registraram que aproximadamente 80% das vítimas do grupo já tinham credenciais comprometidas e indexadas em fóruns de malware antes do ataque. Após o acesso, o grupo usa tooling nativo de nuvem sem depositar executáveis nos sistemas da vítima. A vítima recebe notificação com 48 horas para contato, abrindo uma janela de negociação de dez dias. O grupo já foi observado praticando dupla extorsão, cobrando primeiro pelo não vazamento e depois pela eliminação das cópias de backup dos dados exfiltrados.
Por que a aviação é alvo crescente
O setor aéreo concentra dados de alto valor, sistemas de ciclo de vida longo e uma cadeia de fornecimento complexa que vai de sistemas embarcados a plataformas de suporte em solo. Grupos de extorsão intensificaram os ataques contra aviação e o setor aeroespacial ao longo de 2025 e 2026, segundo levantamento da CybersecurityNews, atraídos pela combinação de dados de passageiros, registros de manutenção e informações operacionais sensíveis.
No caso da Panasonic Avionics, o risco mais imediato para as companhias aéreas clientes é reputacional e regulatório: se o grupo exfiltrou dados de passageiros processados pela plataforma de IFE, as operadoras estão expostas a notificações obrigatórias nos termos do GDPR, para voos com passageiros europeus, e da CCPA, para o mercado norte-americano, mesmo que a brecha tenha ocorrido na infraestrutura de um fornecedor terceiro. Ignorar esse ponto tem custado às empresas multas superiores a 4% do faturamento global anual nos precedentes mais recentes do regulador europeu.
O que muda para as companhias aéreas
A questão que os times de segurança das mais de 200 operadoras clientes precisam responder é dupla: quais dados foram compartilhados com a Panasonic Avionics nos contratos de IFE, e qual cláusula de responsabilidade por violação de dados está vigente nesses contratos?
O padrão do CoinbaseCartel de usar credenciais comprometidas por infostealers reforça a necessidade de rotação imediata de tokens de API e credenciais de integração utilizados nas interfaces com a Panasonic. A ausência de criptografia no ataque não deve gerar complacência: dados exfiltrados se tornam passivos permanentes e podem ser reutilizados em ataques secundários contra as próprias operadoras.
O incidente marca o segundo comprometimento confirmado da Panasonic Avionics em menos de três anos. A empresa havia divulgado em 2023 uma intrusão que remontava a dezembro de 2022, com exposição de nomes, dados de saúde, informações financeiras e números de documentos de identificação de empregados. A recorrência de ataques contra o mesmo alvo num intervalo relativamente curto sinaliza que os controles de higiene de credenciais na divisão ainda não atingiram o padrão exigido pelo perfil de ameaça que a empresa enfrenta. Para as consultorias de TI com clientes na aviação, essa é a abertura para uma conversa sobre revisão de contratos de fornecedor e due diligence de segurança em cadeias de suprimento de software.
---
Nota de transparência (25/05/2026): Esta matéria foi atualizada para esclarecer o status do incidente. A versão original descrevia o reporte do SC Media como "confirmação" do breach, quando SC Media e Ransomware.live reportam a reivindicação publicada pelo próprio grupo CoinbaseCartel no leak site. Até a data desta atualização, a Panasonic Avionics não havia se pronunciado oficialmente. O The New Times reporta reivindicações de grupos cibercriminosos como claims, e só usa "confirmação" quando há statement da vítima, do regulador ou reporte independente de wire primária.