Los planos de seguridad de muchas empresas se filtraron en el hack de la empresa sueca Gunnebo – Krebs on Protection


En marzo de 2020, KrebsOnSecurity alertó al gigante de la seguridad sueco Grupo Gunnebo que los piratas informáticos habían irrumpido en su purple y vendido el acceso a un grupo delictivo que se especializa en implementar ransomware. En agosto, Gunnebo dijo que había frustrado con éxito un ataque de ransomware, pero esta semana se supo que los intrusos robaron y publicaron en línea decenas de miles de documentos confidenciales, incluidos esquemas de bóvedas de bancos de clientes y sistemas de vigilancia.

los Grupo Gunnebo es una empresa multinacional sueca que brinda seguridad física a una variedad de clientes a nivel mundial, incluidos bancos, agencias gubernamentales, aeropuertos, casinos, joyerías, agencias tributarias e incluso plantas de energía nuclear. La compañía tiene operaciones en 25 países, más de 4.000 empleados y miles de millones en ingresos anuales.

Siguiendo un consejo de la firma de inteligencia cibernética con sede en Milwaukee, Wisconsin Mantenga la seguridad, KrebsOnSecurity en marzo le dijo a Gunnebo sobre una transacción financiera entre un hacker malicioso y un grupo de ciberdelincuentes que se especializa en implementar ransomware. Esa transacción incluía credenciales para una cuenta de Protocolo de escritorio remoto (RDP) aparentemente configurada por un empleado del Grupo Gunnebo que deseaba acceder a la pink interna de la empresa de forma remota.

Cinco meses después, Gunnebo divulgado había sufrido un ciberataque dirigido a sus sistemas de TI que obligó al cierre de los servidores internos. Sin embargo, la compañía dijo que su rápida reacción impidió que los intrusos propagaran el ransomware en sus sistemas y que el impacto duradero standard del incidente fue mínimo.

A principios de esta semana, la agencia de noticias sueca Dagens Nyheter confirmado que los piratas informáticos publicaron recientemente en línea al menos 38.000 documentos robados de la crimson de Gunnebo. Linus Larsson, el periodista que dio a conocer la historia, dice que el content pirateado se subió a un servidor público durante la segunda quincena de septiembre, y no se sabe cuántas personas pudieron haber accedido a él.

Citas de Larsson Stefan Syrén, director ejecutivo de Gunnebo diciendo que la empresa nunca consideró pagar el rescate que los atacantes exigieron a cambio de no publicar sus documentos internos. Es más, Syrén pareció restar importancia a la gravedad de la exposición.

«Entiendo que se pueden ver los dibujos como sensibles, pero no los consideramos como sensibles automáticamente», dijo el CEO. «Cuando se trata de cámaras en un entorno público, por ejemplo, la mitad del punto es que deben ser visibles, por lo tanto, un dibujo con la ubicación de la cámara en sí mismo no es muy reasonable».

No está claro si las credenciales de RDP robadas fueron un aspect en este incidente. Pero la contraseña de la cuenta Gunnebo RDP – «contraseña01» – sugiere que la seguridad de sus sistemas de TI también puede haber faltado en otras áreas.

Después de este autor publicó una solicitud de contacto de Gunnebo en Twitter, KrebsOnSecurity escuchó de Rasmus Jansson, gerente de cuentas de Gunnebo que se especializa en proteger los sistemas de los clientes de ataques o interrupciones de pulsos electromagnéticos (EMP), breves ráfagas de energía que pueden dañar los equipos eléctricos.

Jansson dijo que transmitió las credenciales robadas a los especialistas en TI de la empresa, pero que no sabe qué acciones tomó la empresa en respuesta. Contactado por teléfono hoy, Jansson dijo que renunció a la compañía en agosto, justo cuando Gunnebo reveló el ataque de ransomware frustrado. Se negó a comentar sobre los detalles del incidente de extorsión.

Los atacantes de ransomware a menudo pasan semanas o meses dentro de la pink de un objetivo antes de intentar implementar malware en la pink que encripta servidores y sistemas de escritorio a menos que y hasta que se cumpla una demanda de rescate.

Eso es porque ganar el punto de apoyo inicial rara vez es la parte difícil del ataque. De hecho, muchos grupos de ransomware ahora tienen tanta vergüenza de riquezas en este sentido que han decidido contratar probadores de penetración externos para llevar a cabo el duro trabajo de escalar ese punto de apoyo inicial hacia un handle completo sobre la pink de la víctima y cualquier sistema de respaldo de datos. un proceso que puede llevar mucho tiempo.

Pero antes de lanzar su ransomware, se ha convertido en una práctica común para estos extorsionadores descargar la mayor cantidad posible de datos confidenciales y patentados. En algunos casos, esto permite que los intrusos se beneficien incluso si su malware de alguna manera falla en hacer su trabajo. En otros casos, se les pide a las víctimas que paguen dos demandas de extorsión: una por una clave digital para desbloquear sistemas encriptados, y otra a cambio de una promesa de no publicar, subastar o intercambiar de otra manera los datos robados.

Si bien puede parecer irónico cuando una empresa de seguridad física termina publicando todos sus secretos en línea, la realidad es que algunos de los principales objetivos de los grupos de ransomware siguen siendo las empresas que pueden no considerar la ciberseguridad o los sistemas de información como su principal preocupación o negocio. – independientemente de cuánto se dependa de esa tecnología.

De hecho, las empresas que persisten en ver la seguridad física y cibernética como algo separado parecen estar entre los objetivos favoritos de los actores del ransomware. La semana pasada, un periodista ruso publicó un online video en Youtube afirma ser una entrevista con los ciberdelincuentes detrás de la variedad de ransomware REvil / Sodinokibi, que es obra de un grupo felony particularmente agresivo que ha estado detrás de algunos de los ataques de rescate más grandes y costosos de los últimos años.

(incrustar) https://www.youtube.com/view?v=ZyQCQ1VZp8s (/ incrustar)

En el movie, el representante de REvil declaró que los objetivos más deseables para el grupo eran empresas agrícolas, fabricantes, firmas de seguros y bufetes de abogados. El actor de REvil afirmó que, en promedio, aproximadamente una de cada tres de sus víctimas acepta pagar una tarifa de extorsión.

Mark Arena, Director ejecutivo de la empresa de inteligencia sobre amenazas de ciberseguridad Intel 471, dijo que si bien podría ser tentador creer que las empresas que se especializan en seguridad de la información suelen tener mejores prácticas de ciberseguridad que las empresas de seguridad física, pocas organizaciones tienen un conocimiento profundo de sus adversarios. Intel 471 ha publicado un análisis del video clip aquí.

Arena dijo que esta es una deficiencia particularmente grave con muchos proveedores de servicios administrados (MSP), empresas que brindan servicios de seguridad subcontratados a cientos o miles de clientes que de otro modo no podrían permitirse contratar profesionales de ciberseguridad.

“La dura y desafortunada realidad es que la seguridad de varias empresas de seguridad es una mierda”, dijo Arena. «La mayoría de las empresas tienden a tener una falta de comprensión continua y actualizada de los actores de amenazas a los que se enfrentan».


Etiquetas: Dagens Nyheter, violación del grupo Gunnebo, Hold Stability, Intel 471, Linus Larsson, Mark Arena, ransomware, Rasmus Jansson, RDP, rEvil, Sodinokibi, Stefan Syrén

Esta entrada se publicó el miércoles 28 de octubre de 2020 a las 12:58 p.m. y está archivada en Violaciones de datos, ransomware.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el ultimate y dejar un comentario. Pinging no está permitido actualmente.





Enlace a la noticia authentic