Un archivo de 9,5 gigabytes «datos relativos a [la société française] Tales » fue publicado durante la noche en el sitio web del grupo ciberdelincuente Lockbit. El archivo publicado contiene datos relacionados con los contratos y asociaciones de Thales en Italia y Malasia.
contactado por El mundoThales confirma la distribución de estos datos en el sitio de los ciberdelincuentes, pero especifica que no hay “sin intrusión” en el sistema informático de la empresa. “Los expertos en seguridad de Thales han identificado una de las dos fuentes probables del robo de información. Esta es la cuenta de un socio en un portal de intercambio dedicado que condujo a la divulgación de una cantidad limitada de información”, explica un portavoz de la empresa, y agrega que sus equipos están trabajando para identificar la segunda fuente. Thales también especifica que esta fuga de datos no tiene impacto en su actividad.
Los documentos publicados por Lockbit en su sitio mencionan en particular un proyecto de Thales y la empresa Novatis Resources, con sede en Malasia, para instalar herramientas de vigilancia aérea para el aeropuerto malasio de Kota Kinabalu: un programa que se había anunciado en 2018. Los documentos , de fecha 2021, mencionan el proyecto y el seguimiento de la empresa. Otros archivos se refieren a contratos firmados por Thales en Italia, particularmente en Florencia, para el soporte de un sistema automatizado de venta de boletos para servicios de transporte público. El archivo no parece contener ningún dato personal perteneciente a los empleados de la empresa.
Lockbit había anunciado a principios de mes que estaba en posesión de datos robados a Thales y amenazó con publicarlos en su sitio. El grupo de ciberdelincuentes había establecido entonces una cuenta regresiva anunciando una publicación el 7 de noviembre. El Día D, el sitio había publicado un mensaje indicando que los datos fueron publicados, sin dar acceso a ellos, haciendo que los observadores dudaran de la realidad del ataque. Los archivos robados finalmente aparecieron en el sitio la noche del 10 al 11 de noviembre.
Esta no es la primera vez que Lockbit reclama un ataque contra Thales: en enero, el grupo ya había anunciado que había robado datos del grupo. Los datos difundidos en su momento contenían principalmente repositorios de códigos de un servidor externo a la empresa, datos considerados «insensible» por la empresa francesa.
Un miembro del grupo arrestado en Canadá
El jueves, las autoridades estadounidenses anunciaron el arresto de una persona instalada en Canadá acusada de haber trabajado para el grupo Lockbit. Este ciudadano, que tiene doble nacionalidad rusa y canadiense, se encuentra actualmente bajo custodia policial a la espera de su extradición a Estados Unidos.
Según documentos publicados por la justicia estadounidense, una búsqueda realizada en agosto por las fuerzas policiales permitió incautar la computadora del sospechoso, mostrando rastros de conexión al panel de control del ransomware desarrollado por Lockbit, así como mensajes. intercambiado con LockBitSupp, una cuenta utilizada por el grupo de ciberdelincuentes para respaldar su software. Aún según la justicia estadounidense, se identificó en la computadora del sospechoso un archivo que contiene una lista de objetivos pasados y futuros del grupo Lockbit. Durante una segunda búsqueda, los investigadores también encontraron rastros de una billetera de criptomonedas en poder del sospechoso que contenía 0,8 bitcoins (13.482 euros según el precio de bitcoin en el momento de la publicación de este artículo). El origen de estos bitcoins corresponde al pago de un rescate por parte de una víctima del grupo Lockbit. El sospechoso se enfrenta a una pena de prisión de cinco años.
Lockbit es uno de los grupos cibercriminales más activos. Reclama en su sitio muchas víctimas, sin embargo, a veces con un éxito relativo. Lockbit había anunciado así la piratería de datos pertenecientes al Ministerio de Justicia francés, antes de publicar finalmente datos de un bufete de abogados ubicado en Caen. El grupo había hecho previamente numerosas afirmaciones falsas. Sin embargo, causó varias víctimas graves en Francia, incluido el hospital de Corbeil-Essonnes en agosto. Los sistemas del hospital habían estado paralizados durante varios días después del ataque, y el grupo había publicado los datos robados a principios de septiembre.