REvil continúa el ataque de ransomware con la adquisición del fabricante de computadoras portátiles Acer
Imagen: Acer
Informes de seguridad de lectura obligada
Los atacantes cibernéticos detrás del ransomware REvil se han cobrado otra víctima, esta vez el conglomerado mundial de computadoras portátiles Acer, y exigen un rescate récord de $ 50 millones.
Primero informado por Bleeping Computer, los atacantes anunciaron que comprometieron los sistemas de Acer el viernes al publicar los documentos financieros y formularios bancarios del fabricante taiwanés de computadoras portátiles, computadoras de escritorio y monitores.
mirar: Política de protección contra el robo de identidad (Edición Premium de Tecnopedia)
Acer emitió la misma declaración a varios medios de comunicación, negándose a confirmar o negar el ataque, y solo dijo que compañías similares «están bajo ataque constante y hemos informado anomalías recientes observadas a las agencias de protección de datos y de aplicación de la ley relevantes en varios países».
«Acer detectó la anomalía desde marzo e inmediatamente activó medidas de seguridad y prevención. El mecanismo de seguridad interna de Acer detectó proactivamente la anomalía e inmediatamente inició medidas de seguridad y prevención», dijo la compañía en un comunicado a ZDNet.
Un informe de seguimiento de LeMagIT y SearchSecurity durante el fin de semana encontró que los atacantes querían pagar $ 50 millones en la criptomoneda Monero, ofreciendo bajar el precio en un 20 por ciento si se paga el 17 de marzo, pero ese no parece ser el caso. .
Según ComputerWeekly, un sitio hermano de LeMagIT y SearchSecurity, los negociadores de Acer supuestamente ofrecieron $ 10 millones, que fue rechazado por los atacantes, quienes dieron como fecha límite de pago el 28 de marzo. Si el rescate no se ha pagado para esa fecha, el rescate se duplicará, informó Computer Weekly.
Bleeping Computer tiene imágenes del rescate exigido y dice que los representantes de Acer comenzaron a hablar con los atacantes el 14 de marzo. SearchSecurity encontró pruebas del hackeo publicadas en el «Blog feliz», donde los atacantes de REvil suelen publicar la información robada.
Bleeping Computer también informa que hay algunos indicios de que los que están detrás de REvil usaron un servidor de Microsoft Exchange en el dominio de Acer, lo que podría convertirlo en una de las primeras veces que un grupo de ransomware explota una vulnerabilidad conocida para completar un ataque.
«Era solo cuestión de tiempo antes de que una organización fuera explotada por la reciente vulnerabilidad de Microsoft Exchange y, en el entorno actual, fue rápido», dijo James McQuiggan, defensor de la conciencia de seguridad de KnowBe4. «El ransomware WannaCry de 2017 explotó la vulnerabilidad EternalBlue y solo tomó unos meses para un ataque masivo. Este ataque tomó solo unas pocas semanas».
El CTO de Vectra, Oliver Tavakoli, dijo que las organizaciones deberían esperar que la vulnerabilidad de Microsoft Exchange Server sea explotada por muchos actores con diferentes objetivos en las próximas semanas y meses.
mirar: Ingeniería social: una hoja de trucos para empresarios (PDF gratuito) (República tecnológica)
Los actores de ransomware dirigidos como REvil verán esto como un beneficio particular, explicó Tavakoli, porque los muchos pasos personalizados del ataque (infiltración, reconocimiento, recolección de datos valiosos) pueden lograrse mediante un cortocircuito.
Tavakoli agregó: «El tamaño de la solicitud de rescate se reduce a que el actor de amenazas pruebe el mercado con una apertura fantástica; supongo que Acer no pagará el rescate o negociará una cantidad significativamente reducida».
Según ZDNet, se cree que la cifra de 50 millones de dólares es el rescate más grande exigido por los atacantes de ransomware, siendo el rescate máximo anterior de 30 millones de dólares.
El grupo detrás del ransomware REvil ha ganado millones de dólares desde su aparición en 2023. Interpol ha estado siguiendo al grupo desde marzo del año pasado, cuando los informes dijeron que la pandilla atacó a los fabricantes en marzo y a los mayoristas en abril.
Ivan Righi, analista de inteligencia de amenazas cibernéticas de Digital Shadows, dijo que el grupo de ransomware REvil es conocido por sus altas demandas de rescate, citando un reciente ataque de febrero en el que el grupo exigió $ 30 millones al minorista panasiático Dairy Farm.
«La demanda sustancial indica que REvil puede haber filtrado información altamente confidencial o información que podría usarse para lanzar ataques cibernéticos contra los clientes de Acer», dijo Righi.
En 2023, el grupo se centró en el servicio de remesas Travelex, Honda, el fabricante de whisky Jack Daniel’s Brown-Forman y el bufete de abogados Grubman Shire Meiselas & Sacks, que representa a los expresidentes Donald Trump, Rod Stewart, Lady Gaga y otros, entre otros. lanzó múltiples ataques de alto perfil contra Madonna y Robert De Niro.
No está claro si la organización comprometida pagó el rescate, pero Atlas VPN informa que Travelex terminó pagando $2.3 millones a REvil. El informe Estado del malware de 2023 de Malwarebytes dice que los atacantes de REvil afirman haber ganado 100 millones de dólares en 2023, la mayoría exigiendo el pago de datos robados no publicados.
Según un informe de Digital Shadows, el grupo tuvo tanto éxito en 2023 que comenzó a organizar concursos en la web oscura para reclutar nuevos miembros y expandirse, e incluso depositó $1 millón en un foro como prueba de su hazaña financiera.
«Los grupos de ciberdelincuentes sofisticados como REvil entienden los fundamentos de la seguridad de la información y han desarrollado un enfoque de doble golpe que deja a las víctimas vulnerables en ambos frentes. Siempre buscarán cifrar y filtrar datos para proporcionarse más vectores de apalancamiento para extorsionar dinero para el descifrado y/o retorno seguro», dijo Brian Higgins, experto en seguridad de Comparitech.
«En el pasado, algunas compañías pagaron mucho dinero por esto último y creyeron a los chantajistas cuando dijeron que no compartirían ni venderían los datos hasta que se los devolvieran de manera segura. ¿Les piden que digan la verdad cuando ganan millones en rescates e incluso venden datos a otras organizaciones criminales?»
Las personas detrás del ransomware incluso crearon un foro similar a eBay donde las personas pueden ofertar por los datos robados utilizando la criptomoneda Monero, señaló App Gate en un informe el año pasado.
Tener copias de seguridad de datos no es suficiente, dijo el CISO de Bluefin, Brent Johnson, quien instó a las empresas a cifrar o convertir en tokens los datos confidenciales para que sean menos valiosos para los atacantes.
«De lo contrario, los piratas informáticos podrían usar los datos de texto claro para exigir el pago de la empresa, o expondrían los datos en un esquema de ‘doble extorsión'», dijo Johnson.
Otros expertos en ciberseguridad citan el uso de las vulnerabilidades de Microsoft Exchange como uno de los aspectos más destacados del ataque.
Brandon Hoffman, director de seguridad de la información de Netenrich, señaló que los atacantes están ansiosos por explotar las vulnerabilidades de Microsoft Exchange porque la prolífica técnica ha sido fácil de explotar durante mucho tiempo.
«El nombre del juego para el ransomware es encontrar puntos de entrada fáciles, y eso es lo que presentó la brecha de Exchange. Una tercera consideración es que los ciberdelincuentes han estado invirtiendo tiempo en ataques a la cadena de suministro y herramientas de desarrollo, preocupación por los ataques de software porque ahora están jugando el «juego largo», dijo Hoffman.
«Esto en sí mismo presenta una oportunidad, ya que los atacantes que ven la recompensa de estos ataques a la cadena de suministro dejan una brecha donde los operadores de ransomware tienen más superficie de ataque disponible (lo que significa que el ransomware volverá a ser un mercado alcista)».
