Attacco informatico alla SpaceX: Elon Musk sotto scacco? Tra 4 giorni l’asta dei dati online

Roberto Camerinesi : 15 Marzo 2023 16:01

Il gruppo LockBit sembra aver colpito di nuovo rivendicando nel DarkWeb un’attacco diretto alla supply chain di SpaceX, nello specifico alla Maximum Industries, fornitori della nota compagnia spaziale.

Nel DarkWeb, viene infatti rivendicato un attacco ransom che ha portato al furto di oltre 3.000 disegni/progetti certificati dagli ingegneri SpaceX in data 13 MAR, 2023 19:26 UTC.

Qui la rivendicazione originale:

I would say we were lucky if SPACE-X contractors were more talkative. But I think this material will find its buyer as soon as possible. 

Elon Musk we will help you sell your drawings to other manufacturers – build the ship faster and fly away.

And now about the numbers: about 3,000 drawings certified by space-x engineers We will launch the auction in a week

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Che in italiano sarebbe:

Direi che siamo stati fortunati se gli appaltatori di SPACE-X fossero più loquaci. Ma penso che questo materiale troverà il suo acquirente il prima possibile. 

Elon Musk ti aiuteremo a vendere i tuoi disegni ad altri produttori: costruisci la nave più velocemente e vola via. 

E ora i numeri: circa 3.000 disegni certificati dagli ingegneri di space-x Inizieremo l'asta tra una settimana.

Gli attaccanti inoltre si “fanno beffa” di Elon Mask con la frase “Elon Musk we will help you sell your drawings to other manufacturers – build the ship faster and fly away” che in italiano suona più o meno cosi:

“Elon Musk ti aiuteremo a vendere i tuoi disegni ad altri produttori – costruisci la nave più velocemente e vola via“

proponendo infatti di lanciare un’asta nel giro di una settimana per vendere i progetti della SpaceX.

La cyber-gang ha già imposto la deadline per il riscatto e pubblicazione dei dati sensibili fissata il 20 Mar, 2023 11:26:23 UTC

L’attacco informatico di LockBit a Maximum Industries serve chiaramente come promemoria dell’urgente necessità per le aziende di dare priorità alla sicurezza informatica e prestare molta attenzione a vettori laterali come appunto la supply-chain.

La gang pubblica anche dei samples dove vengono raffigurati dei disegni tecnici e una clausola di NDA firmata dalla rispettiva azienda.

Il ransomware LockBit

Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.

Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.

Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:

• Il ransomware cos’è. Scopriamo il funzionamento della RaaS
• Perché l’Italia è al terzo posto negli attacchi ransomware
• Difficoltà di attribuzione di un attacco informatico e false flag
• Alla scoperta del gruppo Ransomware Lockbit 2.0
• Intervista al rappresentante di LockBit 2.0
• Il 2021 è stato un anno difficile sul piano degli incidenti informatici
• Alla scoperta del gruppo Ransomware Darkside
• Intervista al portavoce di Revil UNKNOW, sul forum XSS
• Intervista al portavoce di BlackMatter

LockBit è una cyber gang criminale che adotta il modello ransomware-as-a-service (RaaS), anche se la sua struttura presenta variazioni che la differenziano da un tipico modello di affiliazione.

LockBit ransomware è un malware progettato per bloccare l’accesso degli utenti ai sistemi informatici in cambio di un pagamento di riscatto. Questo ransomware viene utilizzato per attacchi altamente mirati contro aziende e altre organizzazioni e gli “affiliati” di LockBit, hanno lasciato il segno minacciando le organizzazioni di tutto il mondo di ogni ordine e grado.

Si tratta del modello ransomware-as-a-service (RaaS) dove gli affiliati depositano del denaro per l’uso di attacchi personalizzati su commissione e traggono profitto da un quadro di affiliazione. I pagamenti del riscatto sono divisi tra il team di sviluppatori LockBit e gli affiliati attaccanti, che ricevono fino a ¾ dei fondi del riscatto.

E’ considerato da molte autorità parte della famiglia di malware “LockerGoga & MegaCortex”. Ciò significa semplicemente che condivide i comportamenti con queste forme consolidate di ransomware mirato ed ha il potere di auto-propagarsi una volta eseguito all’interno di una rete informatica.

LockBit è una cyber gang che restite da molto tempo nel mercato delle affiliazioni RaaS rinnovandosi costantemente. Ha iniziato le sue operazioni a settembre 2019 chiamandosi ABCD per poi cambiare il suo nome in Lockbit. Successivamente il marchio è stato rinominato in LockBit 2.0 apportando diverse novità e a giugno 2021, sono stati apportati dei cambiamenti introducendo la piattaforma Lockbit 3.0.

LockBit 3.0 introduce diverse novità, come una piattaforma di bug-hunting relativa alle infrastrutture utilizzate dalla gang, l’acquisto di criptovaluta, una nuova sezione per gli affiliati e ulteriori modi per monetizzare che possono essere sintetizzate in:

• Estensione del “countdown”: la vittima può pagare dei soldi per estendere il countdown per la pubblicazione dei dati;
• Distruzione di tutte le informazioni: la vittima può pagare per distruggere tutte le informazioni esfiltrate dalla sua organizzazione;
• Download dei dati in qualsiasi momento: la vittima può pagare per ottenere l’accesso al download esclusivo di tutti i dati esfiltrati dell’azienda.

Ovviamente il costo per ogni tipologia di “servizio” è differente e si può pagare in Bitcoin o in Monero.

Roberto Camerinesi
Co-founder e CTO della startup innovativa CyberEvolution ed inventore della tecnologia brevettata di cyber defence LECS. Lavora nel settore della ricerca in ambito network defence per IT e OT con la missione di capillarizzare la security e per questo abbraccia la filosofia dell'hacking già in tenera età. Nel tempo libero cattura foto di galassie al telescopio e adora il trekking.

Lista degli articoli
Visita il sito web dell'autore