El CTAG, centro tecnológico de automoción de Galicia, es uno de los centros europeos referentes en investigación y desarrollo en el mundo de la automoción.
Este centro tecnológico está situado en Galicia, concretamente en Porriño (Pontevedra), ofrece pistas de prueba para conducción autónoma y conectada, pero su oferta de servicios es mucho más amplia que eso. Según reza su web su principal objetivo es "ayudar a mejorar la competitividad de las empresas de automoción mediante la incorporación de nuevas tecnologías y el fomento del desarrollo, la investigación y la innovación tecnológica".
CTAG fue así uno de los miembros del proyecto 5GCAR, lanzado en 2007 bajo el liderazgo de Ericsson, y que incluía a Bosch, Huawei, Nokia, Orange, PSA y Volvo Cars. En julio de 2019, el grupo PSA anunció que estaba probando en un entorno urbano, con el CTAG, “la contribución de las tecnologías de la comunicación al desarrollo de funciones automáticas de vehículos”. Un experimento que forma parte del proyecto European Autopilot, lanzado a principios de 2017.
Según el medio francés LeMagIT, se ha descubierto una muestra del ransomware Sodinokibi que parece ser lo que atacó a los sistemas de información del CTAG.
Los contactos entre los cibercriminales y la víctima empezarían el 6 de noviembre del 2020. El grupo cibercriminal Revil, a cargo del ransomware Sodinokibi, en un principio exigió 300.000 dólares. Al no obtener respuesta la cantidad se duplicó, a lo que el grupo gallego respondió con un "¿realmente tenemos que pagar?". Al día siguiente los atacantes en un intento de suavizar el camino para una posible negociación respondieron a la víctima con un "haga una oferta y lo pensaremos". En ese momento el CTAG se plantó y no intentó ningún contacto posterior con Revil.
El 18 de diciembre por la mañana, la reacción de los extorsionadores al no recibir respuesta alguna, fue remitir imágenes que representaban elementos de la infraestructura informática del CTAG e incluso documentos relacionados con una pieza Delphi de una versión diseñada para Peugeot en 2018.
En la siguiente imagen se ve parte de la información que mandaron los cibercriminales como prueba, esta imagen fue publicada en el Happy Blog (un blog de la Dark Web solo accesible por Tor):
.jpg)
Al anterior mensaje los ciberdelicuentes añadieron el siguiente mensaje: "Estamos listos para escuchar su oferta y ofrecerle un descuento".
Además de esa imagen incluyeron unas cuantas más donde se podía ver listadas sus máquinas, sistemas, ips. Y no solo eso, también adjuntaron una tabla de usuarios con sus nombres y apellidos completos donde se indican si el usuario está o no activo en el sistema, si puede o no cambiar la clave, etc .
Según los datos del buscador "Onyphe" el CTAG expuso hasta mediados de octubre, en Internet, sistemas de acceso remoto afectados por vulnerabilidades susceptibles de haber sido explotadas por los atacantes: un Fortinet afectado por el CVE- 2018-13379 y Cisco ASA, para CVE-2020-2021. La utilización de dichos vectores sería el procedimiento operativo del grupo Revil para materializar este ataque.
Fuente: Legamit
