Ransomware Everest assume autoria pelo caos no check-in aéreo da Europa

O grupo Everest assumiu ontem, em um post publicado no seu site na dark web, o ataque à Collins Aerospace, subsidiária da Raytheon Technologies (RTX). O ataque, em 19 de setembro, causou interrupção nos sistemas de check-in de passageiros em aeroportos europeus. Os invasores alegam acesso a 50 gigabytes de dados e publicaram um ultimato de resgate contra a empresa. A invasão foi favorecida por uma falha no software Arinc cMUSE, detectada e corrigida pela Collins Aerospace. Esse software é usado por aeroportos para check-in e embarque. Aeroportos como Heathrow, Bruxelas, Berlim, Dublin e Cork relataram o problema.

Leia também

Ataque a check in paralisa aeroportos na Europa
Airbus inicia investigação após hacker vazar dados da empresa

Em Heathrow, cerca de 1.000 computadores foram danificados e exigiram recuperação manual. A RTX informou que as interrupções se limitaram às áreas de check-in e retirada de bagagem. O impacto se estendeu por dias.

O Modus Operandi do Grupo Everest

A Collins Aerospace foi adicionada à lista de vítimas no portal darknet Everest. A publicação tem cinco seções, incluindo “MUSE-INSECURE: Inside the Collins Aerospace Security Breach” e “FTP Access List”. A seção final, “News for CEO”, é direcionada à gerência da Collins Aerospace ou ao CEO da RTX.

O grupo Everest afirma ter roubado mais de 50 gigabytes de dados. O grupo iniciou uma contagem regressiva em 14 de outubro para a divulgação dos dados. O prazo foi estendido em 18 de outubro, sugerindo contato entre as partes. O grupo não divulgou amostras dos arquivos roubados. O Everest está ativo desde 2021 e tem histórico de ataques a empresas como AT&T, BMW, Allegis Group, Mailchimp, Crumbl e Radisson.

Vulnerabilidade no Setor de Aviação e Defesa

O ransomware tem como alvo companhias aéreas como FAI Aviation Group, WestJet, Hawaiian Airlines, Alaska Airlines, e a Qantas, que sofreram incidentes. A interrupção causada pelo Everest afetou milhares de voos e centenas de milhares de passageiros. O incidente destaca a vulnerabilidade da infraestrutura aeroportuária aos ataques cibernéticos de ransomware. O setor de tecnologia aeroespacial também tem sido alvo de ataques: o grupo Play atacou a Jamco Aerospace em agosto. A INC Ransom comprometeu a Stark Aerospace em janeiro.