El contratista del Departamento de Defensa sufre una infección de ransomware


portaaviones

Digital Warfare Associates (EWA), una compañía de electrónica de 40 años y un conocido contratista del gobierno de EE. UU., Ha sufrido una infección de ransomware, según ha descubierto ZDNet.

La infección golpeó a la compañía la semana pasada. Entre los sistemas que tenían datos cifrados durante el incidente se encontraban los servidores web de la compañía.

Las señales del incidente aún son visibles en línea. Los archivos cifrados y las notas de rescate todavía se almacenan en caché en los resultados de búsqueda de Google, incluso una semana después de que la compañía eliminó los servidores world-wide-web afectados.

ewa-ransomware.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/01/29/f59115d4-f26a-4cfd-825c-7c3e6371b05a/ewa-ransomware.png

Imagen: ZDNet

Los investigadores de seguridad que revisaron los archivos en caché le dijeron a ZDNet que los archivos cifrados y la nota de rescate son, sin lugar a dudas, una señal de una infección con el ransomware Ryuk.

El investigador de seguridad que descubrió estos archivos por primera vez le dijo a ZDNet que varios sitios net de EWA parecen haber sido afectados, como los sitios para:

  • EWA Authorities Programs Inc.: una subsidiaria de EWA que proporciona productos y servicios de guerra electrónica (EW) a los mercados gubernamentales y comerciales en defensa cibernética, desarrollo de radar, inteligencia, seguridad, capacitación, planificación de misiones tácticas, gestión de la información y protección de la fuerza.
  • EWA Systems Inc. – una subsidiaria de EWA especializada en productos JTAG.
  • Simplicikey: una subsidiaria de EWA especializada en la fabricación de un cerrojo electrónico de management remoto centrado en el consumidor.
  • Homeland Security Institute – una organización sin fines de lucro presidida por el CEO de EWA.

No está claro en este momento qué parte de la purple interna de la compañía se cifró durante el incidente.

A pesar de los signos visibles de un incidente de ransomware en sus sitios world-wide-web públicos, EWA no ha emitido ninguna declaración pública sobre el incidente.

Un portavoz de EWA colgó el teléfono el día de hoy cuando ZDNet contactó para comentar sobre la violación de seguridad.

La compañía es un conocido proveedor de equipos electrónicos para el gobierno de los Estados Unidos. En su sitio website, EWA enumera el Departamento de Defensa (DOD), el Departamento de Seguridad Nacional (DHS) y el Departamento de Justicia (DOJ) como clientes habituales.

Una noteworthy actualización de Ryuk Stealer

Para empeorar las cosas, Ryuk no es su variedad de ransomware habitual. Este tipo de ransomware se usa únicamente en ataques dirigidos a empresas de alto perfil.

Por lo common, se instala en redes infectadas después de que una víctima se infecta con los troyanos Emotet / TrickBot, dos conocidas plataformas de cibercrimen como servicio.

La pandilla Ryuk usa la máquina infectada por Emotet / TrickBot como punto de entrada y plataforma de lanzamiento para escanear y propagarse dentro de la red interna de una empresa, filtrar datos y luego implementar su ransomware.

La exfiltración de datos ocurre a través de un módulo Ryuk llamado Ryuk Stealer, que los investigadores de seguridad han visto desplegado en los recientes ataques de Ryuk.

Casualmente, el Ryuk Stealer se actualizó recientemente a archivos de destino que pueden contener datos gubernamentales y militares, según un informe de Bleeping Personal computer, sugiriendo un esfuerzo concertado del lado de la pandilla Ryuk para atacar entidades gubernamentales y militares.



Enlace a la noticia first