A empresa espanhola de defesa e tecnologia Indra Group está investigando um incidente de ransomware após um grupo cibercriminoso alegar ter roubado dados da empresa e ameaçado publicá-los a menos que comecem negociações.
A gangue de ransomware conhecida como The Gentlemen adicionou o Indra ao seu site de vazamento da dark web em 30 de junho, dando à empresa vários dias para estabelecer contato antes que os supostos dados roubados sejam divulgados. Neste momento, nem os atacantes nem a empresa divulgaram quais informações teriam sido levadas.
A Indra é uma das maiores contratantes de defesa da Europa e um fornecedor chave para a OTAN e as forças armadas espanholas. A empresa desenvolve comunicações militares, sistemas de radar, tecnologias de defesa aérea, soluções de cibersegurança e infraestrutura crítica utilizada por governos e organizações de defesa em todo o mundo.
Em um comunicado, a Indra confirmou que uma de suas subsidiárias sofreu um ataque cibernético envolvendo ransomware. A empresa informou que sua Equipe de Resposta a Incidentes de Segurança Informática (CSIRT) ativou imediatamente os procedimentos de contenção e determinou que o incidente foi limitado a um ambiente não crítico. Segundo a Indra, não há evidências de que o ataque tenha se espalhado para outras empresas do grupo, e o atendimento ao cliente continuou operando normalmente durante toda a investigação.
A empresa afirmou que implementou medidas de contenção, erradicação e recuperação, enquanto fortalece os controles de segurança em toda a sua infraestrutura. Os investigadores continuam examinando o incidente para determinar como os atacantes tiveram acesso e se algum dado foi exfiltrado.
The Gentlemen é uma operação ativa de ransomware que segue o modelo cada vez mais comum de dupla extorsão. Em vez de depender apenas da criptografia de arquivos, o grupo também alega roubar dados corporativos sensíveis e ameaça publicá-los caso as vítimas se recusando a negociar. Essa tática permite que atacantes pressionem organizações mesmo quando backups permitem que recuperem sistemas criptografados.
Como a Indra trabalha extensivamente com governos, agências de defesa, operadores de transporte e provedores de infraestrutura crítica, qualquer exposição confirmada a dados pode ter implicações além da própria empresa. No entanto, atualmente não há evidências públicas de que informações classificadas ou sistemas de clientes tenham sido comprometidos.