Skip to content
CBCyber Breaches
Recherche
RançongicielContenu

Rançongiciel LockBit contre Boeing via Citrix Bleed (2023)

Les opérateurs de LockBit ont exploité la vulnérabilité Citrix Bleed (CVE-2023-4966) pour pénétrer dans l'activité de pièces détachées et de distribution de Boeing. Boeing n'a pas payé ; LockBit a divulgué environ 45 Go de données, dont des journaux Citrix, des sauvegardes de courriels, des listes de fournisseurs et des données tarifaires de 2020.

Victime
Boeing — Activité Pièces détachées et Distribution
SecteurIndustrieDéfense
PaysÉtats-Unis
GroupeLockBit
CVECVE-2023-4966

Fin octobre 2023, l'opération de rançongiciel LockBit a annoncé avoir volé « une quantité énorme » de données à Boeing et qu'elle les publierait sauf paiement par le géant de l'aérospatial avant le 2 novembre. Boeing a confirmé un incident affectant son activité de pièces détachées et de distribution le 2 novembre et a refusé de payer. Le 10 novembre, LockBit a publié environ 45 Go de données de Boeing au grand public. L'analyse de la fuite a indiqué que les attaquants avaient exploité la vulnérabilité Citrix Bleed (CVE-2023-4966) pour leur accès initial.

Ce qui s'est passé

L'activité de pièces détachées et de distribution de Boeing est l'infrastructure mondiale qui gère les commandes de pièces de rechange, la coordination avec les fournisseurs techniques et le flux commercial courant des composants aérospatiaux. Le 27 octobre 2023, LockBit a publié une revendication menaçant de publier les données volées de Boeing sauf paiement d'une rançon avant le 2 novembre. Boeing a confirmé répondre à un incident cyber le jour même de l'expiration du délai et a refusé de négocier.

Le 10 novembre, LockBit a publié l'intégralité des données qu'il prétendait détenir — environ 43 à 45 Go. Le contenu comprenait :

  • Des journaux Citrix datés du 22 octobre 2023 au plus tard.
  • Des sauvegardes de courriels, des données de service de provisionnement.
  • Des audits et documents de contrôle de sécurité.
  • Des supports de formation de Boeing.
  • Des listes de fournisseurs techniques et distributeurs de Boeing en Europe et en Amérique du Nord (noms, lieux, numéros de téléphone).
  • Des détails financiers de Boeing, dont des ventes, des remises, des rapports de coût de non-qualité (COPQ) et des données tarifaires pour 2020.

Les chercheurs croisant les données divulguées avec les vulnérabilités publiées ont conclu que LockBit avait probablement exploité CVE-2023-4966 (Citrix Bleed) pour obtenir l'accès initial — la même faille utilisée dans l'attaque contemporaine de l'ICBC.

Impact

  • ~45 Go de données de Boeing publiées au grand public.
  • Contacts de fournisseurs et distributeurs, tarification interne et documents d'audit exposés.
  • Boeing a refusé de payer — l'une des décisions de non-paiement les plus médiatisées dans les rançongiciels américains.
  • Citrix Bleed (CVE-2023-4966) confirmée comme vecteur d'accès initial.

Pourquoi cela compte

Le cas Boeing combine deux premières à grande échelle publique : Citrix Bleed à l'échelle industrielle (également observé à l'ICBC) et un grand prestataire américain lié à la défense refusant publiquement de payer LockBit. La composition du contenu de la fuite — listes de fournisseurs, données tarifaires, rapports COPQ — montre également avec quelle minutie l'extorsion par rançongiciel moderne moissonne le renseignement commercial d'une cible avant la phase de chiffrement.

Chronologie

  1. LockBit affirme avoir volé « une quantité énorme » de données sensibles à Boeing et exige une rançon avant le 2 novembre 2023.

  2. Boeing confirme qu'il répond à un incident cyber affectant son activité de pièces détachées et de distribution. Le délai de rançon de LockBit expire ; Boeing refuse de payer.

  3. LockBit publie l'intégralité des données qu'il prétend détenir de Boeing — environ 43 à 45 Go — sur son site de fuite du dark web. Le contenu comprend des journaux Citrix, des sauvegardes de courriels, des documents d'audit et de contrôle de sécurité datés du 22 octobre 2023 au plus tard.

  4. Les chercheurs analysant le matériel divulgué concluent que LockBit a probablement exploité la CVE-2023-4966 (« Citrix Bleed ») comme vecteur d'accès initial.

Sources

  1. cybersecuritydive.comhttps://www.cybersecuritydive.com/news/boeing-files-leaked-claim/699579/
  2. theregister.comhttps://www.theregister.com/2023/11/10/lockbit_leaks_boeing_files/
  3. securityweek.comhttps://www.securityweek.com/ransomware-group-leaks-files-allegedly-stolen-from-boeing/
  4. therecord.mediahttps://therecord.media/boeing-investigating-leaked-lockbit-data
  5. securityaffairs.comhttps://securityaffairs.com/154115/cyber-crime/lockbit-ransomware-leaked-boeing-data.html

Incidents liés

RançongicielContenu

Rançongiciel LockBit contre ICBC Financial Services (2023)

Le rançongiciel LockBit a perturbé la filiale américaine de courtage-négociation d'ICBC, la plus grande banque mondiale, bloquant le règlement de plus de 9 milliards de dollars de transactions sur les bons du Trésor américain. Le personnel de la banque a envoyé les détails de règlement critiques sur clé USB, par messager, à travers Manhattan. 62 milliards de dollars de bons du Trésor n'ont pas pu être livrés en une seule journée.

Victim
ICBC Financial Services (courtier-négociant américain d'Industrial and Commercial Bank of China)
Loss
$9.00B
RançongicielContenu

Rançongiciel LockBit contre Continental AG (Allemagne, 2022)

Les opérateurs de LockBit ont infiltré certaines parties des systèmes informatiques du géant allemand des équipements automobiles Continental AG en août 2022. Une mise sous contrôle a d'abord été annoncée, mais en novembre, le groupe a mis 40 téraoctets de données volées de Continental sur son site de fuite du dark web, proposés à la vente ou à la destruction pour 50 millions de dollars.

Victim
Continental AG
RançongicielContenu

Rançongiciel LockBit chez Westpole — panne de l'administration publique italienne (2023)

LockBit 3.0 a chiffré les centres de données du fournisseur cloud italien Westpole, mettant hors service la plateforme Urbi de PA Digitale — qui dessert 1 300 administrations publiques italiennes, dont 540 communes, la présidence du Quirinale, l'ISTAT, la Banque d'Italie et le ministère de l'Environnement. Paie, services aux citoyens et flux de travail des collectivités ont été dégradés pendant des semaines.

Victim
Westpole / PA Digitale (plateforme Urbi)
RançongicielContenu

Fuite par rançongiciel Nitrogen chez Foxconn (2026)

Le groupe de rançongiciel Nitrogen a affirmé sur son site de fuite du dark web avoir volé plus de 11 millions de fichiers dans les installations nord-américaines de Foxconn, dont des informations confidentielles appartenant aux clients Apple, Dell, Google, Intel, Nvidia et Sony. Foxconn a déclaré que les usines concernées reprenaient une production normale.

Victim
Foxconn (Hon Hai Precision Industry)