Según se informa, el grupo de ciberespionaje con sede en China está detrás …



Datos personales de más de 8,100 personas e información comercial confidencial probablemente expuesta en el incidente de junio de 2019.

Una violación de datos en Mitsubishi Electric de Japón que puede haber expuesto unos 200 MB de datos comerciales personales y confidenciales es el último recordatorio de la creciente amenaza que enfrentan muchas organizaciones de los sofisticados grupos de ciberespionaje.

Mitsubishi admitió el lunes que había experimentado una violación de datos en junio pasado después de que al menos dos periódicos japoneses informaron sobre el incidente esta semana. En una declaración enviada por correo electrónico a Dim Reading, la compañía dijo que detectó el incidente el 28 de junio de 2019 y tomó medidas inmediatas para limitar el daño.

«Mitsubishi Electric powered reconoce la posibilidad de filtraciones de información own y confidencial debido al acceso no autorizado a las redes cibernéticas de la compañía», dijo el comunicado.

La compañía, cuyos clientes incluyen importantes organizaciones gubernamentales, de defensa y del sector privado, no ofreció detalles sobre el tipo de información que podría haberse visto comprometida o cuán extenso pudo haber sido el daño. Pero dijo que no se filtró información wise perteneciente a organizaciones de infraestructura crítica en los sectores de defensa, energía, electricidad y ferrocarril.

Asahi Shimbun, uno de los primeros en informar sobre la violación, dijo el martes que los datos pertenecientes a 8.122 personas podrían haber estado expuestos desde junio pasado. La información potencialmente filtrada incluía nombres y otros datos personales pertenecientes a más de 4.560 empleados en la sede de la compañía, así como a casi 2.000 nuevos graduados que se unieron a la compañía entre 2017 y abril de 2019, y varios empleados y jubilados a mitad de carrera.

Además, los intrusos parecen haber tenido acceso a datos sobre más de 10 clientes gubernamentales de Mitsubishi Electrical y docenas de otras empresas, incluidas aquellas en sectores críticos de infraestructura, Asahi Shimbun dijo, citando a funcionarios que dijo que estaban cerca de la investigación. Los datos expuestos incluyeron los relativos a negociaciones comerciales, actividades de desarrollo conjunto, pedidos de productos y materiales para reuniones de la empresa.

Según el periódico, mientras Mitsubishi Electric informó al Ministerio de Defensa de Japón sobre el ataque en agosto pasado, muchos de los socios de la compañía en el sector privado, incluidas las principales empresas de servicios eléctricos, operadores ferroviarios y compañías financieras, permanecieron en la oscuridad hasta esta semana.

«La compañía parece estar contactando solo a socios comerciales cuya información podría haber sido comprometida significativamente, pero aún no está dando la imagen completa de la violación», dijo el periódico.

Más temprano, Asahi Shimbun y Nikkei ambos citaron a funcionarios no identificados de la compañía diciendo que decenas de servidores y Laptop en la oficina de Mitsubishi Electrical en Japón y China se habían visto comprometidos en el ataque. Ambos periódicos identificaron al grupo detrás del ataque como «Tick», un equipo con sede en China al que algunos vendedores de seguridad también se han referido como Bronze Butler y REDBALDKNIGHT.

Cuenta Secuestrada
Se cree que el ataque comenzó con el mal uso de una sola cuenta de usuario comprometida que pertenece a una filial de Mitsubishi Electrical en China. La cuenta secuestrada se usó para infiltrarse en los sistemas de la mayoría de las principales instalaciones de Mitsubishi Electric, incluidas sus oficinas centrales de ventas, su sede comercial de sistemas electrónicos y su oficina central, dijo Asahi Shimbun.

Investigadores en Pattern Micro y Secureworks Anteriormente describieron a Tick / Bronze Butler / REDBALDKNIGHT como un grupo de ciberespionaje con sede en China, con un enfoque especial en objetivos japoneses.

Según Secureworks, el grupo se ha centrado durante mucho tiempo en robar propiedad intelectual y otros datos comerciales confidenciales de organizaciones japonesas, especialmente aquellas en sectores de infraestructura críticos. Al igual que muchos grupos, Tick emplea compromisos de World-wide-web phishing y de phishing para ganar un punto de apoyo inicial en una pink objetivo.

Trend Micro ha dicho que descubrió evidencia de que Tick apunta a organizaciones de Corea del Sur, Rusia y Singapur, además de empresas con sede en Japón. El proveedor de seguridad describió a los operadores de Tick como el uso de esteganografía y otras técnicas para implementar e incrustar su malware en los sistemas de destino.

Ben Goodman, vicepresidente senior de ForgeRock, dice que los ataques que involucran el abuso de cuentas de usuarios legítimos resaltan la necesidad de un enfoque de seguridad de confianza cero. «Un enfoque de confianza cero significa que las organizaciones ya no tratan a las personas, dispositivos y servicios que se comunican en la pink corporativa como si fueran buenos actores que merecen una mayor confianza», dice.

En cambio, todas las solicitudes de acceso se autentican y autorizan como si fueran de un usuario desconocido de una red no confiable. «Al observar más de cerca qué acceso tienen los usuarios y cómo están usando ese acceso, podemos entender mejor dónde algunos pueden tener más acceso del que requieren», dice Goodman.

Obligar a los usuarios a autenticarse y autorizar todas sus aplicaciones y servicios también puede permitir una mejor comprensión de la actividad standard del usuario y la detección de un comportamiento potencialmente anormal.

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más ideas





Enlace a la noticia primary