LockBit ransomware leaks gigabytes of Boeing data
2023/11/12 BleepingComputer — 民間航空機や防衛システムにサービスを提供する、最大級の航空宇宙企業である Boeing から盗まれたデータを、LockBit ランサムウェアのギャングが公開した。これより以前に LockBit は、もし Boeing が無視すれば、一連のデータを公開すると警告し、最新ファイルの約4GBのサンプルを公開していた。
公開されたバックアップ・データ
そして LockBit ランサムウェアは、Boeing が身代金の支払いを拒否した後に、同社の 43GB 以上のファイルを流出させた。ハッカー・グループの流出サイトに掲載されているデータの大半は、各種システムのバックアップであり、その中でも最新のものは、10月22日のタイムスタンプを持っている。
10月27日にランサムウェアの実行犯は、自身の恐喝サイトに Boeing を掲載し、11月2日までに連絡して交渉に応じるよう期限を切った。その時点でハッカーは、膨大な量の機密データを盗み出し、それを公開する準備ができていると述べていた。
その後、Boeing は LockBit の被害者リストから一時的に姿を消したが、ハッカーが警告を無視したと発表した 11月7日に、再びリストアップされた。同社が沈黙を続けたことで、LockBit ランサムウェアのギャングたちは交渉の切り札があると主張し、4GB 程度のサンプルデータ (最新) を公開すると脅した。さらにハッカーたちは、「Boeing からの前向きな協力が見られなければ、データベースを公開する」と脅したとされる。
ソース FalconFeed
そして 11月10日に LockBit は、Boeing から得た全てのデータをサイトに公開した。ファイルの中には、IT管理ソフトウェアの設定バックアップや、監視/監査ツールのログなどが含まれている。
Citrix アプライアンスのバックアップもリストアップされており、最近に公開された脆弱性 Citrix Bleed (CVE-2023-4966) が、LockBit ランサムウェアに悪用されたとの憶測を呼んでいる。この脆弱性に関しては、10月24日に PoC エクスプロイト・コードが公開されている。
Boeing は、サイバー攻撃については認めているが、インシデントの詳細や、同社ネットワークへの侵入経路などついては沈黙している。
LockBit は、最も回復力の RaaS (Ransomware-as-a-Service) の1つであり、4年以上も活動しており、さまざまな分野で数千の被害者を出してきた。被害者の中には、自動車大手の Continental/UK Royal Mail/Italian Internal Revenue Service/Oakland 市などが含まれる。
2023年6月に米国政府は、LockBit は 2020年以降において、米国内の様々な組織に対して 1700件近い攻撃を仕掛け、約 $91 million を脅し取ったと発表している。しかし、LockBit の活動は国際的なものである。2023年8月にスペイン国家警察は、同国の建築会社を標的とするフィッシング・キャンペーンについて警告している。この攻撃では、LockBit のロッカー・マルウェアがシステムを暗号化するとされる。
このインシデントに関しては、第一報が 2023/10/30 の「Boeing を侵害したと主張する LockBit:データ・リークの期限が迫っている」であり、第二報が 2023/11/02 の「Lockbit による攻撃を Boeing が認める:水面下での交渉が示唆される」となっています。なにやら、Citrix Bleed が関与しているという憶測もあるようです。Lockbit の主張がウソではないことが判明し、深刻な状況になっていることが伝わってきます。
IoT OT Security News 
You must be logged in to post a comment.