Ransomware Strike ATM Gigante Diebold Nixdorf – Krebs en Seguridad


Diebold Nixdorf, un importante proveedor de cajeros automáticos (ATM) y tecnología de pago para bancos y minoristas, recientemente sufrió un ataque de ransomware que interrumpió algunas operaciones. La compañía dice que los piratas informáticos nunca tocaron sus cajeros automáticos o redes de clientes, y que la intrusión solo afectó a su purple corporativa.

Diebold, con sede en Canton, Ohio (NYSE: DBD) es actualmente el mayor proveedor de cajeros automáticos en los Estados Unidos, con un estimado del 35 por ciento del mercado de cajeros automáticos en todo el mundo. La compañía de 35,000 empleados también create sistemas de punto de venta y application utilizado por muchos minoristas.

Según Diebold, la noche del sábado 25 de abril, el equipo de seguridad de la compañía descubrió un comportamiento anómalo en su pink corporativa. Sospechando un ataque de ransomware, Diebold dijo que inmediatamente comenzó a desconectar los sistemas en esa purple para contener la propagación del malware.

Las fuentes le dijeron a KrebsOnSecurity que la respuesta de Diebold afectó los servicios para más de 100 de los clientes de la compañía. Diebold dijo que la respuesta de la compañía al ataque interrumpió un sistema que automatiza las solicitudes de técnicos de servicio de campo, pero que el incidente no afectó a las redes de clientes ni al público en standard.

«Diebold ha determinado que se ha contenido la propagación del malware», dijo Diebold en una declaración escrita proporcionada a KrebsOnSecurity. “El incidente no afectó a los cajeros automáticos, las redes de clientes o el público en basic, y su impacto no fue material para nuestro negocio. Lamentablemente, el delito cibernético es un desafío continuo para todas las empresas. Diebold Nixdorf se toma muy en serio la seguridad de nuestros sistemas y servicio al cliente. Nuestro liderazgo se ha conectado personalmente con los clientes para darles a conocer la situación y cómo la abordamos ”.

BLOQUEO NO TAN Professional

Una investigación determinó que los intrusos instalaron el ProLock ransomware, que según los expertos es una cepa de ransomware relativamente poco común que ha pasado por varios nombres e iteraciones en los últimos meses.

Por ejemplo, hasta hace poco, ProLock era mejor conocido como «PwndLocker«, Que es el nombre del ransomware que infectaron servidores en el condado de Lasalle, Unwell. en marzo. Pero los delincuentes detrás de PwndLocker renombraron su malware después de que expertos en seguridad de Emsisoft lanzó una herramienta que permitió a las víctimas de PwndLocker descifrar sus archivos sin pagar el rescate.

Diebold afirma que no pagó el rescate exigido por los atacantes, aunque la compañía no discutió la cantidad solicitada. Pero Lawrence Abrams de BleepingComputer dijo que el rescate exigido para las víctimas de ProLock generalmente varía en las seis cifras, desde $ 175,000 a más de $ 660,000 dependiendo del tamaño de la pink de víctimas.

Fabian Wosar, El director de tecnología de Emsisoft, dijo que si las afirmaciones de Diebold sobre no pagar a sus agresores son ciertas, probablemente sea lo mejor: eso se debe a que las versiones actuales de la herramienta de descifrado de ProLock corromperán archivos más grandes, como archivos de bases de datos.

Por suerte, Emsisoft sí ofrecer una herramienta eso repara el descifrador para que recupere correctamente los archivos tomados como rehenes por ProLock, pero solo funciona para las víctimas que ya han pagado un rescate a los delincuentes detrás de ProLock.

«Tenemos una herramienta que corrige un error en el descifrador, pero no funciona a menos que tenga las claves de descifrado de los autores del ransomware», dijo Wosar.

GUERREROS DEL FIN DE SEMANA

Abrams, de BleepingComputer, dijo que el momento del ataque a Diebold, el sábado por la noche, es bastante común, y que los proveedores de ransomware tienden a esperar hasta los fines de semana para lanzar sus ataques, porque eso suele ser cuando la mayoría de las organizaciones tienen la menor cantidad de private técnico disponible. Por cierto, los fines de semana también es el momento en que tiene lugar la gran mayoría de los ataques de robo de cajeros automáticos, por la misma razón.

«Después de las horas de los viernes y sábados por la noche son grandes, porque quieren apretar el gatillo (en el ransomware) cuando no hay nadie cerca», dijo Abrams.

Muchas pandillas de ransomware han decidido robar datos confidenciales de las víctimas antes de lanzar el ransomware, como una especie de garrote virtual para usar contra las víctimas que no aceptan de inmediato una demanda de rescate.

Armados con los datos de la víctima, o datos sobre los socios o clientes de la compañía víctima, los atacantes pueden amenazar con publicar o vender la información si las víctimas se niegan a pagar. De hecho, algunos de los grupos de ransomware más grandes están haciendo exactamente eso, actualizando constantemente los blogs en Web y la Web oscura que publican los nombres y los datos robados de las víctimas que se niegan a pagar.

Hasta ahora, los delincuentes detrás de ProLock no han lanzado su propio site. Pero Abrams dijo que el grupo criminal detrás de él ha indicado que al menos se dirige en esa dirección, señalando que en sus comunicaciones con el grupo a raíz del ataque del condado de Lasalle le enviaron una imagen y una lista de carpetas que sugieren que habían accedido datos confidenciales para esa víctima.

«He estado diciendo esto desde el año pasado cuando el grupo de ransomware Maze comenzó a publicar los nombres y datos de sus víctimas: cada ataque de ransomware debe tratarse como una violación de datos ahora», dijo Abrams.


Etiquetas: BleepingComputer, Diebold Nixdorf, Emsisoft, Fabian Wosar, Lawrence Abrams, ProLock ransomware

Esta entrada fue publicada el lunes 11 de mayo de 2020 a las 12:37 pm y está archivada bajo Ransomware.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el ultimate y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia authentic