LockBit colpisce ancora: 43GB di dati sottratti a Boeing, già pubblicati

Il famigerato gruppo ransomware LockBit ha pubblicato informazioni, file e dati sottratti a Boeing, il colosso aerospaziale che realizza e fornisce prodotti e servizi per aerei commerciali e sistemi di difesa. Si tratterebbe di un archivio di oltre 43GB di informazioni, che LockBit ha diffuso dopo che l'azienda ha rifiutato di pagare il riscatto, nonostante la stessa banda ransomware avesse già minacciato di pubblicare, nel tentativo di esercitare pressione sulla vittima, un campione dimostrativo di 4GB dei dati in suo possesso. 

Boeing è stata annunciata come vittima da LockBit per la prima volta il 27 ottobre scorso, dando alla società la data del 2 novembre come termine ultimo per le trattative ed il pagamento del riscatto. La società è poi sparita per qualche giorno dall'elenco delle vittime, per poi essere inserita nuovamente il 7 novembre, dopo che gli hacker hanno dichiarato che i loro avvertimenti erano stati ignorati.

A questo punto è scattata la minaccia di pubblicazione di un campione di 4GB dei dati più recenti in possesso degli hacker. Boeing non si è lasciata intimidire e ha continuato a non cercare alcun contatto con i criminali, i quali hanno alzato la posta, minacciando di pubblicare l'intero set di dati a disposizione.

Questo è avvenuto lo scorso 10 novembre, quando LockBit ha reso di pubblico dominio tutto quello che aveva sottratto a Boeing. Nell'archivio di oltre 43GB si trovano backup di configurazione per il software di gestione IT e log per strumenti di monitoraggio e auditing.

Sono inoltre presenti anche backup di appliance Citrix, che hanno fatto nascere il sospetto che la banda ransomware sia riuscita a penetrare nei sistemi di Boeing sfruttando la vulnerabilità Citrix Bleed di recente divulgazione, il cui proof-of-concept è stato pubblicato il 24 ottobre. Boeing ha confermato l'attacco, senza tuttavia rilasciare alcun dettaglio sull'incidente. Al momento il sito web di Boeing è ancora non funzionante, con un messaggio che parla genericamente di "Cyber Incident".

LockBit è una delle operazioni ransomware-as-a-service più longeve, con alle spalle almeno 4 anni di attività e migliaia di vittime in vari settori, tra le quali si citano Continental, Royal Mail, i servizi della municipalità di Oakland. Il governo degli Stati Uniti d'America ha affermato nei mesi scorsi che le operazioni di LockBit hanno fruttato ai criminali circa 91 milioni di dollari nel 2020 generati dalle richieste di riscatto, in quasi 1700 attacchi contro varie aziende e organizzazioni nel paese.

La falla Citrix Bleed è stata sfruttata nei giorni scorsi per colpire i sistemi informatici dell'istituto bancario ICBC, ve ne abbiamo parlato qui: ICBC, la banca più grande del mondo sotto attacco ransomware: colpita filiale USA.