Il gruppo cybercrime LockBit sostiene di aver divulgato tutti i dati rubati a Boeing alla fine del mese scorso, dopo che il colosso USA dell’aviazione si è rifiutato di pagare la richiesta di riscatto. Si tratta più precisamente di circa 50 GB di dati sotto forma di archivi compressi e file di backup di vari sistemi, che vanno a sommarsi a un primo “dump” con al suo interno informazioni finanziarie, attività di marketing e dettagli dei fornitori.

Le schermate delle informazioni rubate mostravano diversi log di Citrix, il che ha portato a ipotizzare che LockBit abbia sfruttato la vulnerabilità Citrix Bleed per introdursi nei sistemi di Boeing, che però si è finora rifiutata di commentare il punto di accesso iniziale ai suoi sistemi. The Register riporta che Boeing ha rifiutato di rispondere a domande specifiche sull’incidente di sicurezza o sui file rubati. Un portavoce dell’azienda ha comunque invitato alla testata online questo commento:

“Alcuni elementi del settore parti e distribuzione di Boeing hanno recentemente subito un incidente di cybersecurity. Siamo consapevoli che, in relazione a questo incidente, un attore criminale di ransomware ha rilasciato informazioni che sostiene di aver preso dai nostri sistemi. Continuiamo a indagare sull’incidente e resteremo in contatto con le forze dell’ordine, le autorità di regolamentazione e le parti potenzialmente interessate. Rimaniamo fiduciosi che questo incidente non rappresenti una minaccia per la sicurezza degli aerei o dei voli”.

Secondo il ricercatore di sicurezza Dominic Alvieri, i file contenevano anche e-mail aziendali. “Non ho esaminato l’intero set di dati, ma le email di Boeing e alcune altre si sono rivelate utili per i malintenzionati”, ha dichiarato Alvieri a The Register. Sempre la scorsa settimana, la più grande banca cinese, ICBC, è stata colpita da un attacco ransomware che ha mandato in tilt i suoi sistemi dei servizi finanziari. LockBit ha dichiarato a VX-Underground di essere responsabile anche di questo attacco.

a777_Ransomware_blog12-01

Dal 2020 a oggi il ransomware Lockbit è stato rilevato in tutto il mondo, con organizzazioni negli Stati Uniti, in India e in Brasile tra i bersagli più comuni, come ha dichiarato la società di cybersicurezza Trend Micro lo scorso anno. Secondo la Cybersecurity and Infrastructure Security Agency (CISA) statunitense, il gruppo ha già colpito 1.700 organizzazioni statunitensi.

Il processo di un tipico attacco LockBit, come riportato da NordVPN, è il seguente:

  • LockBit infetta l dispositivo di una vittima, crittografa i file e aggiunge l’estensione dei file crittografati come “HLjkNskOq”.
  • Per eseguire la crittografia è quindi necessaria una chiave di argomento della riga di comando nota come “-pass”
  • LockBit crea vari thread per eseguire più attività contemporaneamente, in modo che la crittografia dei dati possa essere completata in meno tempo
  • LockBit elimina alcuni servizi o funzionalità per rendere il processo di crittografia ed esfiltrazione molto più semplice
  • Un’API viene utilizzata per ospitare l’accesso al database del gestore di controllo del servizio
  • Lo sfondo del desktop della vittima viene modificato in modo che sappia di essere sotto attacco

Se il riscatto non viene pagato dalla vittima nella finestra di tempo richiesta, gli aggressori di LockBit venderanno i dati che hanno rubato ad altri criminali informatici sul dark web. Questo può ovviamente essere catastrofico sia per una singola vittima che per un’organizzazione.