REvil continúa la racha de ataques de ransomware con la adquisición del fabricante de portátiles Acer


REvil previamente infectó las redes de Honda, los creadores de Jack Daniels y un bufete de abogados de alto perfil que representa a Donald Trump.

Portátil Acer Nitro 5

Imagen: Acer

Los ciberataques detrás del ransomware REvil han reclamado otra víctima, esta vez el conglomerado mundial de portátiles Acer, y están exigiendo un récord de $ 50 millones rescate.

Reportado por primera vez por Bleeping Laptop or computer, los atacantes anunció que habían violado los sistemas de Acer el viernes mediante la publicación de documentos financieros y formularios bancarios del fabricante taiwanés de computadoras portátiles, computadoras de escritorio y monitores.

VER: Política de protección contra robo de identidad (TechRepublic Quality)

Acer envió la misma declaración a varios medios de comunicación, negándose a confirmar o negar el ataque y solo diciendo que empresas como esta «están constantemente bajo ataque, y hemos informado de situaciones anormales recientes observadas a las autoridades policiales y de protección de datos pertinentes en varios países». . »

«Acer descubrió anomalías en marzo e inmediatamente inició medidas de seguridad y precaución. Los mecanismos de seguridad internos de Acer detectaron de forma proactiva la anomalía e inmediatamente iniciaron medidas de seguridad y precaución», dijo la compañía en un comunicado a ZDNet.

Los informes posteriores durante el fin de semana de LeMagIT y SearchSecurity encontraron que los atacantes querían los $ 50 millones pagado en criptomoneda Monero y ofrecido a reducir el precio en un 20% si el pago se entregó el 17 de marzo, lo cual parece que no fue así.

ComputerWeekly, un sitio hermano de LeMagIT y SearchSecurity, informó que los negociadores de Acer supuestamente ofreció $ 10 millones, que fue rechazada por los atacantes, quienes dieron como fecha límite el 28 de marzo para el pago. Si el rescate no se paga para esa fecha, se duplicará, según ComputerWeekly.

Bleeping Laptop tenía una foto de la demanda de rescate y dijo que los representantes de Acer comenzaron a hablar con los atacantes el 14 de marzo. SearchSecurity encontró que la evidencia del hackeo period publicado en el «Weblog feliz» donde los atacantes de REvil generalmente publican la información que roban.

Bleeping Computer también informó que hay algunos indicios que muestran que las personas detrás de REvil usaron un Servidor de Microsoft Exchange en el dominio de Acer, lo que podría convertirlo en una de las primeras veces que un grupo de ransomware aprovechó una vulnerabilidad muy publicitada para completar un ataque.

«Period sólo cuestión de tiempo antes de que la reciente vulnerabilidad de Microsoft Exchange explotara una organización, y en el clima precise, fue rápido», dijo James McQuiggan, defensor de la conciencia de seguridad en KnowBe4. «El ransomware WannaCry de 2017 utilizó el exploit EternalBlue y tomó solo unos meses antes de que ocurriera un ataque masivo. Con este ataque, tomó solo unas semanas».

Oliver Tavakoli, CTO de Vectra, dijo que las organizaciones deben esperar que las vulnerabilidades de Microsoft Exchange Server sean aprovechadas por varios actores con diferentes objetivos durante las próximas semanas y meses.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Los actores de ransomware dirigidos como REvil verán esto como una ventaja individual, ya que los muchos pasos personalizados de un ataque (infiltración, reconocimiento, acceso a datos valiosos) pueden cortocircuitarse con un ataque directo al servidor Trade de una organización, explicó Tavakoli.

«El tamaño de la solicitud de rescate se cut down a los actores de amenazas que prueban el mercado con una táctica de apertura fantástica supongo que Acer no pagaría ningún rescate o negociaría una cantidad muy reducida», agregó Tavakoli.

La cifra de $ 50 millones se considera la el mayor rescate de todos los tiempos ser exigido por los atacantes de ransomware, según ZDNet, que dijo que el máximo anterior period de 30 millones de dólares.

El grupo detrás del ransomware REvil ha ganado millones desde emergente en 2019. Interpol estaba observando al grupo desde marzo pasado, cuando informó que la pandilla apuntaba a los fabricantes en marzo y distribuidores mayoristas en abril.

Ivan Righi, analista de inteligencia de amenazas cibernéticas de Electronic Shadows, dijo que el grupo de ransomware REvil es conocido por sus altas demandas de rescate y se refirió a un ataque reciente en febrero en el que el grupo exigió un rescate de $ 30 millones de Dairy Farm, un minorista panasiático.

«La gran demanda sugiere que REvil probablemente exfiltró información que es altamente confidencial, o información que podría usarse para lanzar ataques cibernéticos a los clientes de Acer», dijo Righi.

En 2020, el grupo lanzó varios ataques de alto perfil contra compañías como el servicio de transferencia de dinero Travelex, Honda, el fabricante de Jack Daniels Brown-Forman y el bufete de abogados Grubman Shire Meiselas & Sacks, que representa a figuras importantes como el expresidente Donald Trump, Rod Stewart, Girl Gaga. , Madonna y Robert De Niro.

No está claro si las organizaciones atacadas pagaron los rescates, pero Atlas VPN informó que Travelex sí terminan pagando a REvil $ 2.3 millones. Malwarebytes &#39 2021 Estado del malware El informe dijo que los atacantes de REvil afirmaron haber ganado $ 100 millones en 2020, principalmente por exigir el pago por no publicar datos robados.

El grupo tuvo tanto éxito en 2020 que comenzó a realizar concursos de la website oscura para reclutar nuevos miembros y expandirse. incluso depositando $ 1 millón en un foro como prueba de sus hazañas financieras, según un informe de Electronic Shadows.

«Las organizaciones delictivas cibernéticas sofisticadas como REvil comprenden los elementos básicos de la seguridad de la información y han desarrollado un estilo de ataque de doble golpe que deja a sus víctimas vulnerables en ambos frentes. Siempre buscarán cifrar y exfiltrar datos para tener más vectores de influencia para extorsionar dinero para su descifrado y / o devolución segura «, dijo Brian Higgins, especialista en seguridad de Comparitech.

«Algunas empresas han pagado grandes sumas por este último en el pasado, confiando en sus chantajistas cuando dicen que no han compartido o vendido los datos antes de su devolución segura. Pero son delincuentes organizados, por lo que realmente se puede esperar que lo sean diciendo la verdad cuando pueden ganar millones en rescates e incluso más por vender los datos a otras organizaciones criminales «.

Aquellos detrás del ransomware incluso crearon un foro similar a eBay donde las personas podían ofertar por datos robados utilizando la criptomoneda Monero. Application Gate señaló en un informe el año pasado.

Brent Johnson, CISO de Bluefin, dijo que ya no es suficiente simplemente tener copias de seguridad de los datos, instando a las empresas a cifrar o tokenizar los datos confidenciales para que sean menos valiosos para los atacantes.

«De lo contrario, los piratas informáticos pueden aprovechar los datos de texto claro para exigir que las empresas paguen, o expondrán los datos en lo que se llama un esquema de &#39doble extorsión&#39», dijo Johnson.

Otros expertos en ciberseguridad se centraron en el uso de la vulnerabilidad de Microsoft Trade como uno de los aspectos más preocupantes del ataque.

El director de seguridad de la información de Netenrich, Brandon Hoffman, señaló que los atacantes están ansiosos por aprovechar la vulnerabilidad de Microsoft Exchange porque ha pasado mucho tiempo desde que una tecnología tan prolífica se explotó con tanta facilidad.

«El nombre del juego en ransomware es encontrar puntos de entrada fáciles, y eso es lo que presentó la vulnerabilidad de Trade. La tercera consideración es que los ciberdelincuentes han estado invirtiendo su tiempo en ataques a la cadena de suministro y herramientas de desarrollo, lo que ha reducido el enfoque en el ransomware ataques ya que ahora están jugando el &#39juego largo&#39 «, dijo Hoffman.

«Esto presenta una oportunidad en sí mismo porque los atacantes que vieron la recompensa de estos ataques a la cadena de suministro dejaron una brecha donde los operadores de ransomware tienen más superficie de ataque disponible (lo que significa que el ransomware se convertirá de nuevo en un mercado alcista)».

Ver también



Enlace a la noticia unique