Wabtec Corporation es una empresa estadounidense formada por la fusión de Westinghouse Air Brake Company (WABCO) y MotivePower Industries Corporation en 1999. Fabrica productos para locomotoras, vagones de carga y vehículos de tránsito de pasajeros, y construye locomotoras nuevas de hasta 6.000 caballos de fuerza.
La empresa emplea aproximadamente a 25.000 personas y tiene 50 plantas en todo el mundo.
Según una declaración publicada por Wabtec, los actores de amenazas violaron la red de la empresa e infectaron los sistemas internos el 15 de marzo de 2022.
La actividad inusual fue detectada por la compañía el 26 de junio, luego el gigante ferroviario inició una investigación sobre el incidente de seguridad.
“La investigación forense reveló que ciertos sistemas que contenían información confidencial estaban sujetos a acceso no autorizado y que cierta cantidad de datos se tomaron del entorno de Wabtec el 26 de junio de 2022. La información se publicó más tarde en el sitio de fuga del actor de amenazas. El 23 de noviembre de 2022, Wabtec, con la ayuda de especialistas en revisión de datos, determinó que los archivos afectados contenían información personal”. segun el anuncio publicado por Wabtec Corporation. “El 30 de diciembre de 2022, Wabtec comenzó a notificar a las personas afectadas, según las regulaciones pertinentes, con una carta formal, para informarles que sus datos estaban involucrados”.
La compañía nunca mencionó la naturaleza del ataque en el anuncio, solo afirmó que la investigación forense reveló que ciertos sistemas que contenían información confidencial estaban sujetos a acceso no autorizado y que cierta cantidad de datos fue exfiltrada el 26 de junio de 2022. El único la referencia a un ataque de extorsión es la confirmación de que los datos robados se publicaron más tarde en el sitio de fuga del actor de amenazas, que es un sitio utilizado por grupos de ransomware y pandillas de extorsión para anunciar la disponibilidad de datos robados de las víctimas. El 23 de noviembre de 2022, Wabtec determinó que los archivos extraídos por los atacantes contenían información personal.
La información comprometida varía según el individuo e incluye una combinación de los siguientes elementos de datos: nombre y apellido, fecha de nacimiento, número de identificación nacional fuera de los EE.UU., número de seguro social o código fiscal fuera de los EE. UU., número de pasaporte, dirección IP, número de identificación del empleador (EIN), número de registro de USCIS o extranjero, número de NHS (Servicio Nacional de Salud) (Reino Unido), registro médico/información de seguro de salud, fotografía, género/identidad de género, salario, número de seguro social (EE.UU.), información de cuenta financiera, tarjeta de pago Información, nombre de usuario y contraseña de la cuenta, información biométrica, raza/origen étnico, condena o delito penal, orientación/vida sexual, creencias religiosas, afiliación sindical.
En agosto, el grupo de ransomware LockBit agregó a Wabtec a la lista de víctimas en su sitio de filtraciones Tor y publicó muestras de datos robados como prueba del ataque.
En ese momento, la banda de ransomware fijó la fecha límite para el 20 de agosto de 2022 y, tras el fracaso de un intento de extorsión, publicó el enlace a los datos robados.
El 30 de diciembre de 2022, Wabtec comenzó a notificar a las personas afectadas y las alentó a mantenerse alerta contra incidentes de robo de identidad y fraude mediante la revisión de sus estados de cuenta financieros e informes de crédito en busca de anomalías.
“Si bien no hay indicios de que alguna información específica haya sido o vaya a ser mal utilizada, considerando la naturaleza del incidente y de los datos personales afectados, no podemos descartar que pueda haber intentos de llevar a cabo una actividad fraudulenta”. concluye Wabtec.
Fuente: securityaffairs.com
