L'attacco ransomware di Foxconn vede il furto dei dati di Apple e Nvidia

Foxconn ha confermato un attacco ransomware a diversi suoi stabilimenti nordamericani, dopo che il gruppo ransomware Nitrogen ha affermato l'11 maggio di aver rubato 8 TB di dati, comprendenti oltre 11 milioni di file.

L'attacco ha colpito gli stabilimenti di Mount Pleasant, Wisconsin, e Houston, Texas, costringendo alcuni dipendenti a ricorrere a carta e penna e mandando a casa altri fino al ripristino dell'accesso alla rete.

"Il team di cybersicurezza ha attivato immediatamente il meccanismo di risposta e ha implementato molteplici misure operative per garantire la continuità della produzione e delle consegne", ha dichiarato un portavoce di Foxconn a BleepingComputer. "Le fabbriche interessate stanno attualmente riprendendo la normale produzione"

Foxconn è il più grande produttore di elettronica a contratto del mondo, con oltre 900.000 dipendenti in 240 strutture in 24 Paesi e un fatturato dichiarato di oltre 260 miliardi di dollari nel 2025. L'elenco dei suoi clienti è un vero e proprio "who's who" dell'industria tecnologica: Apple nvidia, Intel, Google, Dell, AMD, Microsoft e Sony si affidano a Nitrogen per la produzione di hardware.

L'elenco dei clienti è esattamente ciò che Nitrogen sta usando come leva. Il gruppo sostiene che i file rubati contengono istruzioni riservate, documentazione interna di progetto, layout di schede di circuito e disegni tecnici legati ai progetti di Apple, Nvidia, Intel, Google, Dell e AMD. I file campione sono stati pubblicati sul sito di leak di Nitrogen sul dark web. Foxconn non ha confermato se i dati dei clienti siano stati effettivamente sottratti e ha rifiutato di rispondere a domande specifiche sull'argomento.

Chi è Nitrogen e perché pagare potrebbe non essere utile

Nitrogen è attivo dal 2023 e opera come un gruppo di doppia estorsione: cripta i file delle vittime e contemporaneamente minaccia di pubblicare i dati rubati se non viene pagato un riscatto. Si ritiene che il gruppo sia costruito sul codice del costruttore di ransomware Conti 2 trapelato e si sospetta che abbia collegamenti con l'ecosistema ALPHV/BlackCat. Tuttavia, c'è un problema significativo nel pagare il riscatto.

Nel febbraio 2026, i ricercatori di Coveware hanno pubblicato un avviso secondo cui un errore di programmazione nel crittografo ESXi di Nitrogen causa la crittografia di tutti i file con la chiave pubblica sbagliata, rendendo impossibile il recupero dei file anche se la vittima paga. Ciò significa che Foxconn rischia di perdere l'accesso ai dati crittografati in modo permanente, indipendentemente da ciò che deciderà di fare con la richiesta di riscatto.

Nitrogen si è fatto un nome prendendo di mira le aziende del settore edile, dei servizi finanziari, della produzione e della tecnologia. Foxconn è la sua vittima di più alto profilo fino ad oggi. Lo stabilimento di Mount Pleasant produce principalmente televisori e server di dati, piuttosto che dispositivi di consumo Apple, il che potrebbe limitare l'impatto sullo sviluppo di prodotti specifici di Apple. Tuttavia, l'ambito dei prodotti dello stabilimento di Houston non è stato dettagliato pubblicamente.

Un obiettivo ricorrente

Questo è almeno il terzo grande attacco ransomware alle strutture Foxconn negli ultimi anni. Nel dicembre 2020, il gruppo DoppelPaymer ha colpito la struttura di Ciudad Juárez in Messico, criptando fino a 1.400 server, distruggendo da 20 a 30 TB di backup e chiedendo 34 milioni di dollari in bitcoin. Nel 2022 e nel 2024, LockBit ha preso di mira la filiale Foxconn Foxsemicon Integrated Technology.

Lo schema riflette la persistente attrattiva dei grandi produttori a contratto come bersaglio del ransomware: detengono dati sensibili per decine di clienti importanti, gestiscono operazioni complesse multi-sito che creano molti punti di ingresso potenziali e l'interruzione delle operazioni ha conseguenze dirette a valle per le aziende che forniscono.

Notebookcheck si è occupato del crescente uso dell'AI nel ransomware e nello sviluppo di zero-day questo mese, inclusa la conferma da parte di Google del primo Zero-day sviluppato dall'AI sviluppato dall'AI e utilizzato in una campagna di sfruttamento di massa pianificata.