El nou grup de programari de segrest (ransomware) 0APT ha inclòs com a última víctima la National Rail Network a la seva pàgina de filtracions.

Aquesta mateixa setmana parlàvem a Escudo Digital d’un nou grup de programari de segrest anomenat 0APT, que es presentava com un actor d’amenaces «políticament neutral» i amb objectius merament econòmics. 

Aquesta banda s’estrenava al panorama del cibercrim amb 8 víctimes a la seva pàgina de filtracions del web fosc. El col·lectiu ha seguit força actiu en els darrers dies (arribant fins a les 60) i n’acaba de sumar una de nova: la National Rail Network del Regne Unit.

0APT assegura tenir en el seu poder codis de senyals, programari de programació i una llista del seu personal. De moment ni els serveis digitals de la xarxa ferroviària ni les operacions semblen haver-se vist interrompudes. 

En el moment d’escriure aquest article, l’entitat pública tampoc no havia fet cap declaració pública respecte al suposat ciberatac.  

La National Rail Network ha patit en el passat altres incidents de ciberseguretat. El setembre de 2024 hi va haver un atac a la xarxa wifi pública de diverses estacions ferroviàries en el qual els usuaris que intentaven connectar-s’hi van ser redirigits a pàgines que mostraven missatges amb continguts islamòfobs o sobre atacs terroristes.

La bretxa de seguretat no va afectar directament els sistemes de senyalització ni el control del trànsit ferroviari, però sí que va obligar a suspendre els serveis de les connexions sense fil mentre s’investigava l’incident i s’investigava com s’havia produït la intrusió. La policia britànica va denunciar un empleat d’una contracta com a sospitós principal del hackeig. 

Més recentment, el setembre de l’any passat, LNER (operador britànic de serveis ferroviaris) va avisar d’un accés no autoritzat a dades de clients mitjançant un proveïdor extern, que va comprometre informació de contacte i detalls de viatges anteriors. Ni els pagaments ni les credencials delicades no es van veure afectades. 

En una entrevista de fa un parell d’anys el responsable de seguretat de la informació de la National Rail Network, ja reconeixia el desafiament que estava suposant l’auge de la ciberdelinqüència a l’últim lustre. 

També va assenyalar que «És una cosa que ha esclatat considerablement i pot afectar qualsevol en qualsevol moment. Els ciberdelinqüents fan servir tantes tècniques, mètodes i recursos que la seva gestió s’ha tornat molt difícil els últims anys.» 

I afegia «Per descomptat, els incidents de ciberseguretat tenen lloc de tant en tant. Quan passen, actuem amb rapidesa i eficiència per evitar que l’afectin a vostè i els seus viatges sempre que sigui possible.» 

Els ciberdelinqüents no perden el tren

Com que són infraestructures crítiques -a causa del seu paper essencial en el transport de passatgers i de mercaderies- els sistemes ferroviaris són un objectiu molt sucós per als ciberdelinqüents. Per això, els darrers anys hi ha hagut ciberatacs a aquestes xarxes a diferents països per part d’actors d’amenaces, en molts casos associats a blocs geopolítics hostils. 

Un pirata informàtic anomenat Vindex ha filtrat recentment informació personal de responsables d’ADIF i del sector del transport, incloent-hi el secretari d’Estat de Transports i Mobilitat Sostenible, José Antonio Santano Clavero; el president de Renfe, Álvaro Fernández Heredia, i el president d’Adif i Adif Alta Velocitat, Luis Pedro Marco de la Peña.

El novembre passat un pirata informàtic assegurava haver aconseguit 2,3 TB de dades que pertanyien al grup FS Italiane (Ferrovie dello Stato Italiane). El forat de seguretat no es va donar directament, sinó a través d’un tercer, el proveïdor de serveis informàtics Almaviva. 

Detalls com a recursos compartits interns, repositoris multiempresa, documentació tècnica, contractes amb entitats públiques, arxius de RH, dades comptables i fins i tot conjunts de dades de diverses empreses del grup passaven a mans dels delinqüents. 

L’abril de l’any passat la companyia de ferrocarrils russos (RZhD) informava que la seva pàgina web i l’aplicació mòbil presentaven diversos problemes a causa d’un ciberatac. Va ser un incident DDoS (de denegació de servei distribuïda). El RZhD havia estat víctima d’incidents d’aquest tipus prèviament. Els anteriors van tenir lloc el juliol del 2024 i el febrer del 2022, encara que el servei es va restablir en unes poques hores. 

Polònia també està en aquesta llista de damnificats. L’agost de 2023, pirates de barret negre van aconseguir irrompre en les freqüències del servei ferroviari polonès, i van arribar a paralitzar el trànsit al nord-oest del país durant una nit. S’estima que hi va haver una vintena de ferrocarrils afectats.

Temps enrere, el 2022, la companyia Indian Railways, l’empresa ferroviària nacional índia operada pel Ministeri de Ferrocarrils, va patir una bretxa de dades massiva. Un grup de pirates anomenat Shadow Hacker assegurava haver aconseguit informació de 30 milions de passatgers que van reservar bitllets a través del servei, inclosos correus electrònics, números de mòbil, direcció, edat i sexe.