Los hackers golpean a la empresa de suministro de alimentos


Los atacantes detrás de la familia de ransomware REvil también amenazaron con divulgar datos personales sobre Madonna y otras celebridades a los mejores postores.

Los atacantes que filtraron información confidencial sobre Girl Gaga la semana pasada después de entrar en sistemas que pertenecen a una firma de abogados con una larga lista de clientes famosos, ahora amenazan con hacer lo mismo con los datos del proveedor de alimentos Sherwood Foodstuff Distributors.

Según el proveedor de seguridad DarkOwl, los datos publicados en un servicio oculto de Tor llamado Happy Blog muestran que los operadores de la familia de ransomware REvil (también conocido como Sodinokibi) están reteniendo a Sherwood para rescatar al robar datos críticos de la compañía y amenazar con divulgarlos públicamente.

DarkOwl dijo que su análisis muestra que los atacantes han logrado robar unos 2.600 archivos de Sherwood. Los datos robados incluyen análisis de flujo de caja, datos de distribuidores, contenido de seguros comerciales e información de proveedores. En el conjunto de datos se incluyen imágenes escaneadas de licencias de conducir de personas en la red de distribución de Sherwood.

Los actores de la amenaza publicaron capturas de pantalla de una conversación que tuvieron con Coveware, una firma de mitigación de ransomware que Sherwood había contratado para ayudar a lidiar con la crisis. La conversación muestra que Sherwood ha estado lidiando con el ataque desde al menos el 3 de mayo.rd , según la investigación de DarkOwl. Las capturas de pantalla también sugieren que Sherwood estuvo dispuesto a pagar $ 4.25 millones y luego $ 7.5 millones para recuperar sus datos. Sherwood a partir de esta publicación no había respondido a una consulta de Darkish Reading.

Sherwood es la segunda compañía en los últimos días que se cree que el grupo REvil ha comprometido. El 11 de mayo, la firma de abogados de celebridades Grubman Shire Meiselas & Sacks (GSM) anunció que los atacantes habían irrumpido en sus sistemas y estaban reteniendo como rehenes 756GB de datos confidenciales pertenecientes a numerosas personas de alto perfil. Entre los individuos afectados estaban Woman Gaga, Madonna, Elton John, Barbara Streisand, Robert De Niro, Bruce Springsteen, Priyanka Chopra y Drake. Los investigadores han atribuido los ataques a REvil.

Los atacantes inicialmente exigieron $ 21 millones a GSM por los datos. Cuando el bufete de abogados se negó a pagar, el grupo de amenazas lanzó más de 2 GB de datos confidenciales, incluida información de contratos, acuerdos de confidencialidad, información de identificación e informes médicos relacionados con Girl Gaga. También recaudaron el rescate, que asciende a $ 42 millones.

Según DarkOwl, el lunes los atacantes actualizaron Pleased Site con noticias de su program para la próxima subasta de datos personales pertenecientes a Madonna. Los atacantes han establecido un precio de oferta inicial de $ 1 millón. También afirmaron tener datos confidenciales sobre el presidente Donald J. Trump a través del ataque a GSM, pero aparentemente ya tienen un comprador para eso, dice DarkOwl.

Mark Turnage, CEO de DarkOwl, dice que su compañía análisis de los datos Mostrar en línea filtrado es auténtico. El propio Trump no es cliente de GSM, pero él y sus asociados se mencionan en varios correos electrónicos en el conjunto de datos robados. «No hay razón para dudar de la autenticidad de la información filtrada sobre Lady Gaga o Trump», dice Turnage.

Si bien los correos electrónicos que mencionan a Trump son bastante superfluos, los datos pertenecientes a Girl Gaga y Sherwood contienen datos financieros confidenciales, acuerdos de confidencialidad e información de identificación own (PII) como direcciones, teléfono, correo electrónico y firmas, dice Turnage.

«Los delincuentes podrían usar la información de Girl Gaga para obtener información sobre su círculo íntimo, como los detalles de seguridad que united states of america en el extranjero, así como sus vendedores y productores», señala. No solo se podría explotar la PII y la información financiera, Gaga también podría estar en mayor riesgo para futuros viajes y viajes internacionales. Los correos electrónicos de Trump, mientras tanto, podrían representar un daño político por la cobertura de los medios.

Malware prolífico

ReEvil es una de las familias de ransomware más prolíficas actualmente en la naturaleza. El ransomware apareció por primera vez en abril de 2019 y se ha relacionado con numerosos ataques contra gobiernos municipales y otras organizaciones. Sus víctimas han incluido a la firma de cambio de divisas Travelex, que terminó pagando $ 2.3 millones para recuperar sus datos.

El grupo detrás del malware lo ha estado ofreciendo a múltiples actores de amenazas a través de un modelo de ransomware como servicio. Los investigadores de seguridad han descrito que el malware se distribuye de varias maneras, incluidos correos electrónicos de phishing, spam, explotando un error en Oracle WebLogic y a través de proveedores de servicios de seguridad administrados comprometidos. Según DarkOwl, los autores de REvil y sus asociados también han distribuido ampliamente el malware a través de JavaScript malicioso en los sitios de WordPress.

De manera problemática para las organizaciones, los operadores de REvil / Sodinokibi se encuentran entre un número creciente de grupos de ransomware que también han comenzado a robar datos y luego amenazan a las víctimas con la exposición si no se paga el rescate. De acuerdo a Coveware, otros grupos involucrados en una práctica equivalent incluyen aquellos detrás de las familias de ransomware Maze, DopplePaymer, Mespinoza, Netwalker y CLoP.

Jonathan Knudsen, estratega de seguridad senior de Synopsys, dice que incidentes como el ataque a GSM resaltan cuán pocas opciones tienen las víctimas del ransomware en estas situaciones: «Los dos riesgos son perder el acceso a los datos y hacer que los datos se hagan públicos o se vendan a un adversario». él dice. «Pagar un rescate podría restablecer el acceso, pero si los atacantes tienen una copia de sus datos, nunca puede estar seguro de que no se publicará, redistribuirá, venderá o filtrará».

Entonces, en lugar de centrarse en cómo responder a un ataque de ransomware después de que ocurra uno, las organizaciones de todos los tamaños en todas las industrias deben adoptar un enfoque proactivo para minimizar el riesgo de tal ataque, dice. «Los pasos proactivos apropiados incluirían copias de seguridad integrales y regulares y capacitación en seguridad para minimizar el riesgo de ataques de phishing o robo de credenciales».

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia primary