El CTAG, centro tecnolgico de automocin de Galicia, es uno de los centros europeos referentes en investigacin y desarrollo en el mundo de la automocin.
Este centro tecnolgico est situado en Galicia, concretamente en Porrio (Pontevedra), ofrece pistas de prueba para conduccin autnoma y conectada, pero su oferta de servicios es mucho ms amplia que eso. Segn reza su web su principal objetivo es "ayudar a mejorar la competitividad de las empresas de automocin mediante la incorporacin de nuevas tecnologas y el fomento del desarrollo, la investigacin y la innovacin tecnolgica".
CTAG fue as uno de los del proyecto 5GCAR, lanzado en 2007 bajo el liderazgo de Ericsson, y que inclua a Bosch, Huawei, Nokia, Orange, PSA y Volvo Cars. En julio de 2019, el grupo PSA anunci que estaba probando en un entorno urbano, con el CTAG, la contribucin de las tecnologas de la comunicacin al desarrollo de funciones automticas de vehculos. Un experimento que forma parte del proyecto European Autopilot, lanzado a principios de 2017.
Segn el medio francs LeMagIT, se ha descubierto una muestra del ransomware Sodinokibi que parece ser lo que atac a los sistemas de informacin del CTAG.
Los os entre los cibercriminales y la vctima empezaran el 6 de noviembre del 2020. El grupo cibercriminal Revil, a cargo del ransomware Sodinokibi, en un principio exigi 300.000 dlares. Al no obtener respuesta la cantidad se duplic, a lo que el grupo gallego respondi con un "realmente tenemos que pagar?". Al da siguiente los atacantes en un intento de suavizar el camino para una posible negociacin respondieron a la vctima con un "haga una oferta y lo pensaremos". En ese momento el CTAG se plant y no intent ningn o posterior con Revil.
El 18 de diciembre por la maana, la reaccin de los extorsionadores al no recibir respuesta alguna, fue remitir imgenes que representaban elementos de la infraestructura informtica del CTAG e incluso documentos relacionados con una pieza Delphi de una versin diseada para Peugeot en 2018.
En la siguiente imagen se ve parte de la informacin que mandaron los cibercriminales como prueba, esta imagen fue publicada en el Happy Blog (un blog de la Dark Web solo accesible por Tor):
.jpg)
Al anterior mensaje los ciberdelicuentes aadieron el siguiente mensaje: "Estamos listos para escuchar su oferta y ofrecerle un descuento".
Adems de esa imagen incluyeron unas cuantas ms donde se poda ver listadas sus mquinas, sistemas, ips. Y no solo eso, tambin adjuntaron una tabla de s con sus nombres y apellidos completos donde se indican si el est o no activo en el sistema, si puede o no cambiar la clave, etc .
Segn los datos del buscador "Onyphe" el CTAG expuso hasta mediados de octubre, en Internet, sistemas de remoto afectados por vulnerabilidades susceptibles de haber sido explotadas por los atacantes: un Fortinet afectado por el CVE- 2018-13379 y Cisco ASA, para CVE-2020-2021. La utilizacin de dichos vectores sera el procedimiento operativo del grupo Revil para materializar este ataque.
Fuente: Legamit
