O grupo Everest participou ontem, em um post publicado em seu site na dark web, do ataque à Collins Aerospace, integrado pela Raytheon Technologies (RTX). O ataque, em 19 de setembro, interrompeu os sistemas de check-in de passageiros em aeroportos europeus. Os invasores alegaram acesso a 50 gigabytes de dados e publicaram um ultimato de resgate contra a empresa. A invasão foi favorecida por uma falha no software Arinc cMUSE, bloqueada e corrigida pela Collins Aerospace. Esse software é usado pelos aeroportos para check-in e embarque. Aeroportos como Heathrow, Bruxelas, Berlim, Dublin e Cork relatam o problema.
Leia também
Ataque a check-in paralisa aeroportos na Europa
Airbus inicia investigação após hacker vazar dados da empresa
Em Heathrow, cerca de 1.000 computadores foram danificados e exigiram manual de recuperação. A RTX informou que as interrupções se limitaram às áreas de check-in e retirada de bagagem. O impacto se estendeu por dias.
Ó Modo Operacional do Grupo Everest
A Collins Aerospace foi adicionada à lista de vítimas no portal rede escura Everest. A publicação tem cinco filmes, incluindo “MUSE-INSECURE: Inside the Collins Aerospace Security Breach” e “FTP Access List”. A seção final, “Notícias para CEO”, é direcionada à gerência da Collins Aerospace ou ao CEO da RTX.
O grupo Everest afirma ter roubado mais de 50 gigabytes de dados. O grupo iniciou uma contagem regressiva em 14 de outubro para a divulgação dos dados. O prazo foi prorrogado em 18 de outubro, informando contato entre as partes. O grupo não divulgou amostras dos arquivos roubados. O Everest está ativo desde 2021 e tem histórico de ataques a empresas como AT&T, BMW, Allegis Group, Mailchimp, Crumbl e Radisson.
Vulnerabilidade no Setor de Aviação e Defesa
O ransomware tem como alvo companhias aéreas como FAI Aviation Group, WestJet, Hawaiian Airlines, Alaska Airlines, e a Qantas, que sofreram incidentes. A interrupção causada pelo Everest afetou milhares de voos e centenas de milhares de passageiros. O incidente destaca a vulnerabilidade da infraestrutura aeroportuária a ataques cibernéticos de ransomware. O setor de tecnologia aeroespacial também foi alvo de ataques: o grupo Play atacou a Jamco Aerospace em agosto. A INC Ransom comprometeu a Stark Aerospace em janeiro.
