Una serie de ataques de ransomware durante la semana pasada afectó la atención médica, cientos de miles de entregas de paquetes durante la pandemia, e incluso un fabricante de lencería. Los atacantes amenazan con filtrar datos confidenciales si las empresas no realizan los pagos requeridos.
ITNews informó que el gigante logístico australiano Toll Group sufrió su segundo ataque de ransomware en lo que va del año, con un tipo de ransomware conocido como “Nefilim”.
Toll Group cerró su sistema de TI después de detectar “actividades inusuales”. La compañía, responsable de entregar muchos cientos de miles de paquetes por día, confirmó que el ataque del ransomware Neflim no estaba relacionado con el experimentado a principios de este año.
Toll Group está tomando una línea dura, asegurando a los medios que no pagaría el rescate, como con el primer ataque sufrido a principios de 2020. Se está moviendo a procesos manuales para que el sistema vuelva a funcionar.
Amenaza de exponer información “secreta”
Sky News informó que el productor de lencería con sede en Sri Lanka de Beyonce y Victoria Secret, MAS Holdings también fue atacado, y la información más reciente indica que el intento de extorsión también es de Nefilim.
El grupo criminal afirma haber robado 300 GB de archivos privados y publicado algunos de los documentos presuntamente robados en línea como evidencia.
Sky News informó que los piratas informáticos podrían intentar explotar la violación para atacar a los socios comerciales de la compañía. MAS Holdings se negó a comentar si había alertado a sus socios o si alguno de sus datos se había visto afectado. En un correo electrónico, la compañía dijo:
“MAS está constantemente revisando su postura de seguridad y los actores de amenazas intentan penetrar nuestra red a veces. También adoptamos las mejores prácticas en línea con los estándares de la industria en el manejo de tales amenazas”.
Y el 29 de abril, Cointelegraph informó de un ataque de ransomware dirigido al Centro Médico Parkview en Colorado, que hizo que la infraestructura técnica que mantenía la información del paciente fuera inoperable.
Tendencia creciente del ransomware
Hablando con Cointelegraph, Brett Callow, analista de amenazas en Emsisoft, dio detalles adicionales sobre el ataque:
“Exfiltrando a los proveedores de datos, los grupos de cibercrimen con apalancamiento adicional para extorsionar el pago y también agregarlos con opciones de monetización adicionales. En caso de que la empresa no pague, los datos robados pueden venderse, intercambiarse o por ataques de phishing a otras organizaciones. De hecho, los actores pueden hacer eso ya sea que la compañía pague o no “.
Según Callow, el análisis reveló que existe evidencia clara de que los datos robados en estos ataques se vendieron a los competidores de la compañía objetivo, se vendieron e intercambiaron en la web oscura, se usaron para robar identidad y se usaron para robo de identidad.
Los cibercriminales filtraron datos como evidencia del ataque
Los ciberdelincuentes afirmaron que obtuvieron 300 GB de archivos privados de MAS Holdings y, como evidencia, ya habían publicado algunos documentos robados en línea.
Callow cree que este tipo de ransomware está mostrando una “tendencia creciente” dentro del mundo del delito cibernético:
“El primer grupo en robar y publicar datos fue Maze a fines del año pasado. Desde entonces, varios otros grupos han adoptado la misma estrategia, por lo que es una estrategia que obviamente funciona. En un caso, el grupo Maze solicitó $ 2 millones: $ 1 millón para descifrar los datos más $ 1 millón adicional para destruir la copia robada. El monto de la demanda variará de una víctima a otra y de un caso a otro “.
Sin embargo, Emsisoft reveló una disminución considerable en los exitosos ataques de ransomware, al menos en los Estados Unidos, durante el primer trimestre de 2020.
