El sector de la defensa se ha convertido un objetivo muy atractivo para los ciberdelincuentes, ya sea directa o indirectamente. Esta industria puede ofrecerles datos sensibles muy valiosos y, para conseguirlos, usan técnicas de todo tipo que van desde ingeniería social hasta amenazas más serias, como el ransomware.
Top Aces, una empresa canadiense que suministra aviones de combate para ejercicios de entrenamiento en el aire, ha anunciado que ha sido atacada por ransomware. Por el momento la compañía está investigando el incidente y no ha dado demasiados detalles sobre el mismo.
No obstante, se sabe que el autor es el grupo LockBit y que este ha marcado como fecha límite para que le paguen el rescate el 15 de mayo. Si no reciben el dinero filtrarán 44 GB de información que aparantemente han sustraído, según se hace eco The Record Media.
Top Aces fue fundada en el año 2000 por un grupo de ex pilotos de combate y trabaja con Canadá, Alemania, Israel y otros países. Además, en 2019 firmaron un acuerdo con la Fuerza Aérea de EE.UU. Una de las cosas que proporciona es "el suministro de herramientas de entrenamiento para defenderse del armamento ruso".
Brett Callow, analista de amenazas de Emsisoft, subraya que los ciberataques a empresas del sector de defensa resultan preocupantes, ya que "no hay manera de saber dónde pueden terminar los datos robados".
"Incluso si los atacantes son solo cibermalos con fines de lucro, estos pueden vender los datos o ponerlos a disposición de terceros, lo que podría incluir gobiernos hostiles", recuerda el experto.
El rastro de LockBit
LockBit ha estado operando desde septiembre de 2019. Según los datos recopilados por Recorded Future, el grupo ha atacado al menos 650 organizaciones en lo que va de año. LockBit 2.0 es una de las familias de ransomware que mayor presencia está teniendo este 2022.
Como otras muchas otras amenazas LockBit 2.0 se basa en un modelo RaaS, es decir, ransomware como servicio. Asimismo, se sirve de la doble extorsión. Esto implica que las víctimas no solo ven cómo se cifran los archivos almacenados en sus sistemas, sino que los delincuentes también les extorsionan amenazando con publicar la información robada.
En la web de LockBit 2.0 hay un extenso listado de víctimas, entre las que también se pueden encontrar empresas y organizaciones españolas. Este ransomware ha dejado afectados de toda clase y condición. Se pueden encontrar empresas grandes y pequeñas, así como organizaciones gubernamentales y ayuntamientos. Una de sus últimas víctimas ha sido la Agencia de Refugiados Estatal de Bulgaria.
En el sector de defensa en concreto han arremetido últimamente contra el grupo Thales y el fabricante suizo de helicópteros Kopter.
Pese a que las autoridades han hecho esfuerzos crecientes y se han intensificado las operaciones policiales para detener a los responsables de esta amenaza, por ahora el grupo el ransomware se muestran escurridizos y no parece que vayan a desaparecer.