El ataque de ransomware en el carnaval puede haber sido su …



El proveedor de seguridad Prevailion dice que observó signos de actividad maliciosa en la purple del operador de cruceros entre al menos febrero y junio.

El operador de cruceros Carnival Corp., que anunció un importante ataque de ransomware en sus sistemas esta semana, puede haber experimentado al menos un compromiso de crimson más, hasta ahora no revelado, a principios de este año.

Según los datos de Prevailion, un proveedor de seguridad que rastrea la actividad de comando y regulate en World-wide-web, la pink de Carnival probablemente se vio comprometida desde al menos febrero hasta principios de junio.

Durante ese período, se observó una dirección IP perteneciente a Carnival que se comunicaba regularmente con servidores de comando y control (C2) externos a la empresa. La actividad de balizas deshonestas fue especialmente alta entre el 11 de abril y el 5 de junio antes de disminuir.

Durante la duración del aparente compromiso, Prevailion dice que observó al menos 46.000 intentos de conexión desde la dirección IP de Carnival a los servidores C2. El proveedor de seguridad identificó la actividad como asociada con Ramnit, un malware que comenzó como un troyano bancario, pero que más recientemente se ha observado que también se utiliza para robar credenciales.

El director ejecutivo de Prevailion, Karim Hijazi, dice que su compañía se puso en contacto con Carnival sobre la actividad maliciosa de C2 en marzo, poco después de que el operador de cruceros revelara otra violación que afectaba los datos de los empleados y que había ocurrido en mayo de 2019. Hijazi dice que Carnival no respondió al intento de Prevailion de contactarlos sobre la malicia. actividad.

No está claro si la actividad de balizas que observó Prevailion tuvo algo que ver con el ataque de ransomware de esta semana en Carnival, dice Hijazi. Tampoco está claro si la actividad disminuyó en junio porque Carnival abordó el problema o porque los atacantes habían utilizado su acceso para lanzar algún otro malware más sigiloso en la crimson de la empresa.

Lo que sí resaltan los datos, sin embargo, es la mala higiene de seguridad de Carnival, dice. «Sí indica que la seguridad aquí fue laxa», señala Hijazi.

Las observaciones de Prevailion se producen un día después del Carnaval divulgado un ataque de ransomware que resultó en el cifrado de una parte de los datos pertenecientes a una de las marcas de la empresa. Las marcas de Carnival incluyen Princess Cruises, Holland The us Line, P&O Cruises, Costa Cruises, AIDA Cruises y Cunard.

El ataque también incluyó al menos algunos datos de clientes y empleados a los que se accede y se descarga ilegalmente. En forma 8-K documento regulatorio, Carnival dijo que su investigación hasta ahora muestra que ningún otro sistema se vio afectado. Pero la empresa no descartó esa posibilidad.

«Mientras la investigación del incidente está en curso, la Compañía ha implementado una serie de medidas de contención y remediación para abordar esta situación y reforzar la seguridad de sus sistemas de tecnología de la información», dijo Carnival.

Cuando Dark Reading lo contactó para comentar sobre las afirmaciones de Prevailion, Roger Frizzell, director de comunicaciones de Carnival, señaló los detalles en la presentación regulatoria. «No planeamos comentar más allá de la información en el 8K», dice.

Carnicería creciente
Carnival es la última de una larga y creciente lista de organizaciones que han sido víctimas de un ataque de ransomware. Muchos de los ataques han provocado un tiempo de inactividad considerable para las víctimas. Un ataque de ransomware en junio contra Honda, por ejemplo, provocó que el fabricante de automóviles tuviera que suspender temporalmente las operaciones de producción en algunas de sus plantas en todo el mundo.

Otros terminaron pagando considerables rescates para recuperar el acceso a los datos cifrados. La Universidad de California en San Francisco pagó alrededor de 1,14 millones de dólares en junio para recuperar sus datos después de que los atacantes lanzaran ransomware en varios sistemas críticos de la Facultad de Medicina de la universidad. Varias otras universidades se vieron afectadas en la misma campaña, incluidas Columbia College or university y Michigan State College.

Además de tener que lidiar con datos cifrados y la interrupción operativa resultante, muchas víctimas de ransomware, incluido Carnival, tienen que lidiar cada vez más con el robo de datos. Los operadores de ransomware han comenzado recientemente a robar datos de las víctimas, además de cifrarlos, y luego amenazar con revelar públicamente la información si no se les paga.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original