Atak ransomware Foxconn spowodował kradzież danych Apple i Nvidia

Foxconn potwierdził atak ransomware na kilka swoich fabryk w Ameryce Północnej po tym, jak 11 maja grupa Nitrogen ransomware twierdziła, że ukradła 8 TB danych zawierających ponad 11 milionów plików.

Atak dotknął zakłady w Mount Pleasant w stanie Wisconsin i Houston w Teksasie, zmuszając niektórych pracowników do korzystania z długopisu i papieru, a innych wysyłając do domu do czasu przywrócenia dostępu do sieci.

"Zespół ds. cyberbezpieczeństwa natychmiast uruchomił mechanizm reagowania i wdrożył wiele środków operacyjnych, aby zapewnić ciągłość produkcji i dostaw" - powiedział rzecznik Foxconn portalowi BleepingComputer. "Dotknięte fabryki wznawiają obecnie normalną produkcję"

Foxconn jest największym na świecie producentem elektroniki na zlecenie, zatrudniającym ponad 900 000 pracowników w 240 zakładach w 24 krajach i odnotowującym przychody przekraczające 260 miliardów dolarów w 2025 roku. Lista jego klientów brzmi jak kto z branży technologicznej: Apple nvidia, Intel, Google, Dell, AMD, Microsoft i Sony polegają na niej w zakresie produkcji sprzętu.

Ta lista klientów jest dokładnie tym, co Nitrogen wykorzystuje jako dźwignię finansową. Grupa twierdzi, że skradzione pliki zawierają poufne instrukcje, wewnętrzną dokumentację projektu, układy płytek drukowanych i rysunki techniczne związane z projektami Apple, Nvidia, Intel, Google, Dell i AMD. Przykładowe pliki zostały opublikowane na stronie Nitrogen's dark web leak site. Foxconn nie potwierdził, czy dane klientów zostały faktycznie przejęte i odmówił odpowiedzi na konkretne pytania na ten temat.

Kim jest Nitrogen i dlaczego płacenie może nie pomóc

Nitrogen jest aktywny od 2023 roku i działa jako grupa podwójnego wymuszenia: szyfruje pliki ofiar i jednocześnie grozi opublikowaniem skradzionych danych, chyba że zostanie zapłacony okup. Uważa się, że grupa została zbudowana na podstawie kodu z wycieku Conti 2 ransomware builder i podejrzewa się, że ma powiązania z ekosystemem ALPHV/BlackCat. Istnieje jednak poważny problem z zapłaceniem okupu.

W lutym 2026 r. badacze Coveware opublikowali ostrzeżenie, że błąd programistyczny w szyfratorze ESXi Nitrogen powoduje, że szyfruje on wszystkie pliki przy użyciu niewłaściwego klucza publicznego, co uniemożliwia odzyskanie plików, nawet jeśli ofiara zapłaci. Oznacza to, że Foxconn stoi przed perspektywą trwałej utraty dostępu do zaszyfrowanych danych, niezależnie od tego, co zdecyduje się zrobić z żądaniem okupu.

Nitrogen stał się celem firm z branży budowlanej, usług finansowych, produkcji i technologii. Foxconn jest jak dotąd jego najbardziej znaną ofiarą. Zakład w Mount Pleasant produkuje głównie telewizory i serwery danych, a nie urządzenia konsumenckie Apple, co może ograniczyć wpływ na rozwój produktów specyficznych dla Apple. Jednak zakres produktów zakładu w Houston nie został podany do wiadomości publicznej.

Powtarzający się cel

Jest to co najmniej trzeci poważny atak ransomware na zakłady Foxconn w ostatnich latach. W grudniu 2020 r. grupa DoppelPaymer zaatakowała zakład w Ciudad Juárez w Meksyku, szyfrując do 1400 serwerów, niszcząc od 20 do 30 TB kopii zapasowych i żądając 34 milionów dolarów w bitcoinach. W 2022 i 2024 roku LockBit zaatakował spółkę zależną Foxconn Foxsemicon Integrated Technology.

Wzorzec ten odzwierciedla stałą atrakcyjność dużych producentów kontraktowych jako celów ransomware: przechowują oni wrażliwe dane dla dziesiątek głównych klientów, prowadzą złożone operacje w wielu lokalizacjach, które tworzą wiele potencjalnych punktów wejścia, a zakłócenia operacyjne mają bezpośrednie konsekwencje dla firm, które zaopatrują.

Notebookcheck opisał rosnące wykorzystanie sztucznej inteligencji w rozwoju oprogramowania ransomware i zero-day w tym miesiącu, w tym potwierdzenie przez Google pierwszego Opracowanego przez AI exploita zero-day wykorzystywanego w planowanej masowej kampanii exploitów.