FOCUS ON

LockBit Team: la rivendicazione contro Boeing

08 Novembre 2023

Il 27 ottobre 2023, sul blog dell’operatore ransomware LockBit Team è comparsa la rivendicazione dell’attacco contro la statunitense Boeing, industria aeronautica e aerospaziale produttrice di velivoli per uso civile e militare. L’avversario dichiarava di aver esfiltrato una considerevole mole di dati sensibili, che sarebbero stati pubblicati, in caso di mancato riscontro da parte della vittima, a partire dal 2 novembre.

Boeing ha confermato di essere caduta vittima di un incidente informatico, specificando che erano stati colpiti alcuni sistemi informativi, principalmente nel settore dei componenti, ma che la sicurezza dei voli non era a rischio. Inoltre, comunicava che erano in corso le attività di indagine e recupero dei dati, in collaborazione con le forze dell’ordine e gli esperti di sicurezza informatica, e che erano state avviate le attività di notifica del caso a clienti e fornitori.

Nella giornata del 2 novembre, sul sito dei leak è stato pubblicato un annuncio nel quale l’avversario, lamentando che Boeing aveva ignorato gli avvertimenti, dava il via alla pubblicazione dei dati. È stato effettuato un primo rilascio di 4GB di dati, con l’annuncio di una successiva pubblicazione di circa mezzo TB di informazioni e del restante materiale, fino al completo leak.

Post di rivendicazione e data leak sul sito di LockBit

LockBit Team, attivo almeno dal 2020, colpisce organizzazioni a livello internazionale, ma esclude dai target realtà localizzate nei Paesi dell’ex Unione Sovietica. La minaccia che utilizza, LockBit 3.0, è un ransomware di tipo human-driven, distribuito in seguito alla compromissione della rete e alla sua mappatura.

Da inizio 2023, ha pubblicato più di 800 rivendicazioni. Dopo aver raggiunto un picco a febbraio, il numero delle rivendicazioni è andato diminuendo fino a luglio scorso, per poi riprendere quota il mese successivo. Ad ottobre, sul sito dei leak sono state rilevate rivendicazioni di circa 80 attacchi. I settori più impattati nel 2023 sono stati quelli della manifattura e dei servizi professionali. Più di un terzo delle vittime segnalate quest’anno sono localizzate negli USA, quelle italiane sono poco meno di 30. In particolare, nella lista dei target italiani dichiarati dall’avversario sono comparsi il Ministero della Cultura e piccole e medie imprese operanti nei settori della manifattura, della logistica e dei servizi professionali.

L’attacco a Boeing è stato rivendicato pochi giorni prima del terzo vertice annuale dell’International Counter Ransomware Initiative (CRI), un’alleanza guidata dagli USA che vede la partecipazione di 48 singoli paesi, dell’Unione Europea e dell’Interpol. Secondo quanto ha affermato alla stampa Anne Neuberger, Deputy Assistant to the President and Deputy National Security Advisor, Cyber & Emerging Tech at National Security Council, le nuove iniziative proposte dagli USA alla CRI mirano a combattere la minaccia ransomware attraverso il blocco dei finanziamenti ai criminali e la promozione di attività di reciproco sostegno fra gli Stati membri.

This year’s CRI gathering is focused on developing capabilities to disrupt attackers and the infrastructure they use to conduct their attacks, improving cybersecurity through sharing information, and fighting back against ransomware actors.

In questa prospettiva, la CRI prevede di creare due piattaforme per la condivisione delle informazioni sugli avversari, sugli attacchi e sui conti finanziari sfruttati per il pagamento dei riscatti, una realizzata dalla Lituania e un’altra congiuntamente da Israele e dagli Emirati Arabi Uniti. Inoltre, ha aggiunto Neuberger, è stata varata una nuova iniziativa per l’analisi delle blockchain, basata sull’intelligenza artificiale, come strumento per l’identificazione dei fondi utilizzati per pagare illecitamente i riscatti. I Paesi partner condivideranno una black list con il Dipartimento del Tesoro degli Stati Uniti che includerà informazioni sui wallet digitali utilizzati per effettuare i pagamenti. Il progetto è ancora in una fase propositiva poiché si attende l’accettazione dell’impegno da parte di tutti i partecipanti all’Iniziativa.