Ransomware para aeroportos europeus

O incidente de segurança cibernética que impactou a Collins Aerospace, que levou a interrupções em vários aeroportos importantes em toda a Europa, na segunda dia 22 de setembro,  foi o resultado de um ataque de ransomware, de acordo com a agência de segurança cibernética da UE ENISA. 

A ENISA disse que o tipo de ransomware envolvido no ataque foi identificado e que as autoridades estão conduzindo uma investigação, mas a agência não compartilhou mais informações.

O ataque cibernético atingiu serviços fornecidos pela Collins Aerospace, sediada nos EUA, de propriedade da RTX (antiga Raytheon). A Collins Aerospace é uma das maiores fornecedoras mundiais de soluções aeroespaciais e de defesa. A empresa recebeu recentemente um prêmio Contrato da OTAN para soluções de guerra eletromagnética. 

A tecnologia Collins é usada nos aeroportos para permitir que os passageiros façam check-in, imprimam cartões de embarque e etiquetas de bagagem e despachem suas malas. O ataque cibernético impactou os sistemas de check-in e embarque nos principais aeroportos, forçando-os a recorrer a processos manuais. Isso resultou em atrasos e cancelamentos de voos.  

O incidente aconteceu aeroportos impactados no Reino Unido, Alemanha, Bélgica e Irlanda, incluindo Heathrow, em Londres, o Aeroporto de Bruxelas e Berlim Brandemburgo.

Embora Heathrow tenha afirmado que a grande maioria dos seus voos continuou a operar e que os atrasos não foram significativos, o Aeroporto de Bruxelas registou atrasos substanciais interrupções, supostamente pedindo às companhias aéreas que cancelassem quase 140 voos na segunda-feira.

O Centro Nacional de Segurança Cibernética do Reino Unido emitiu uma declaração no fim de semana para informar ao público que está trabalhando com o Departamento de Transportes do país para investigar o incidente.

Um memorando interno do aeroporto de Heathrow, em Londres, obtido pelo BBC, revelou que mais de mil computadores podem ter sido corrompidos e a restauração remota não é possível. Além disso, de acordo com o memorando, Collins descobriu que os hackers ainda estavam dentro de sua rede depois que ela reconstruiu e relançou os sistemas. 

O especialista em segurança cibernética Kevin Beaumont foi monitorando o incidente e acredita que o ataque atingiu os serviços de comunicação e processamento de informações da ARINC, especificamente os sistemas SelfServ vMUSE. 

O pesquisador destacou que dezenas de sistemas relacionados ao ARINC parecem estar expostos à internet, e alguns deles parecem não ter mecanismos de segurança importantes. 

Beaumont também observou que o incidente fez com que os usuários do sistema ARINC nos aeroportos não conseguissem fazer login em suas contas. 

Collins disse anteriormente que estava nos estágios finais de conclusão das atualizações de software necessárias para colocar os sistemas online novamente, mas não está claro se isso foi antes ou depois de descobrir que hackers ainda estavam dentro de seus sistemas.

Não está claro quem está por trás do ataque, mas Violações de dados sugeriu que existe a possibilidade de estar ligado ao grupo de crimes cibernéticos ShinyHunters, cujo parceiro, a gangue Scattered Spider, é conhecido por ter como alvo o indústria da aviação. 

Scattered Spider e ShinyHunters anunciaram sua aposentadoria recentemente, mas a indústria está cético de suas alegações e evidências sugerem que eles continuar realizando ataques.