Primero fuel, ahora carne: el último ataque de ciberseguridad muestra que los delincuentes están ampliando su alcance


El grupo de piratería ruso REvil está detrás del ataque de ransomware contra la empresa de procesamiento de carne JBS Foods, según el FBI.

vacas-conectadass.jpg

(Imagen: suministrada)

La buena noticia del ataque de ransomware de JBS Meals es que parece haber seguido uno de los principios básicos de la ciberseguridad: hacer copias de seguridad. La mala noticia es que los ciberdelincuentes han ampliado su alcance más allá del robo de datos comerciales para sabotear las cadenas de suministro de los consumidores.

La empresa procesadora de carne JBS dijo el miércoles que su Las operaciones se habían recuperado principalmente de un ataque de ransomware. y había cerrado operaciones en los Estados Unidos y Australia a principios de esta semana. La empresa es una de las procesadoras de ganado más grandes de Estados Unidos. Ningún grupo se ha atribuido la responsabilidad y JBS no ha compartido los detalles del ataque. El FBI anunció el miércoles que El grupo de piratería ruso REvil es responsable del ataque.

Joseph Carson, científico jefe de seguridad y CISO asesor de Thycotic, dijo que tener un prepare de respaldo implementado no evita los ataques cibernéticos, pero puede facilitar el proceso de recuperación.

«La buena noticia es que sus sistemas de respaldo parecen no verse afectados por el ataque, lo que demuestra que han seguido algunas de las mejores prácticas de la industria y tienen un system de respuesta a incidentes», dijo. «Esperemos que esto sirva de ejemplo para otras empresas de la importancia de los sistemas de respaldo y la segmentación de la red».

Es posible que esta táctica básica ya no funcione a medida que los atacantes se adentren más en los sistemas corporativos. Jim McGann, vicepresidente de advertising and marketing y desarrollo comercial de la empresa de ciberseguridad Index Engines, dijo que los entornos de respaldo también están bajo ataque.

«Los ciberdelincuentes están utilizando ahora técnicas avanzadas, incluida la inteligencia synthetic, para penetrar en el centro de datos y corromper los activos de datos críticos», dijo. «Las organizaciones deben ser más inteligentes y agresivas al combatir estos ataques, en lugar de utilizar enfoques comunes y predecibles».

Esto significa proteger los datos de la copia de seguridad, verificar su integridad y asegurarse de que exista una buena copia de seguridad en su lugar.

Hitesh Sheth, presidente y director ejecutivo de la empresa de ciberseguridad Vectra, dijo que esto representa un cambio en la estrategia de la ciberguerra.

«Agregue JBS a Colonial Pipeline y otras huelgas, y obtendrá una nueva sabiduría convencional: están persiguiendo infraestructura crítica como líneas de suministro de alimentos y combustible, lo que afecta la confianza del público», dijo.

El martes el La empresa dijo que no se han comprometido datos de clientes, proveedores o empleados., lo mejor que pudieron decir. La compañía también dijo que algunas operaciones ya se reanudaron el miércoles.

Sean Curran, director senior de ciberseguridad de West Monroe, dijo que los recientes ciberataques destacan el impacto que el ransomware puede tener en la comunidad en basic.

«Si bien las violaciones de datos de hace cinco años tenían un impacto personalized, no tenían ni mucho menos el impacto social que puede tener un ataque de ransomware ahora», dijo. «La infraestructura crítica y otras organizaciones también deberán analizar cómo su propia cadena de suministro se ve afectada por los ataques de ransomware».

VER: La orden ejecutiva de Biden apuesta fuerte por la confianza cero para el futuro de la ciberseguridad de EE. UU. (TechRepublic)

Curran dijo La reciente directiva de ciberseguridad del presidente Joe Biden es el primer intento actual de estandarizar las prácticas de seguridad para las organizaciones gubernamentales y el sector privado, pero hay mucho trabajo por delante.

«Una mejor comprensión a nivel federal de los desafíos que se enfrentan al lidiar con las amenazas actuales aumentará la financiación», dijo. «Si bien estoy seguro de que habrá muchos detractores de la Orden Ejecutiva y mucho más de lo que se puede y se debe hacer, sin ella, el status quo habría continuado».

Meg King, directora del programa de innovación de ciencia y tecnología en The Wilson Middle, dijo que esta tendencia muestra la necesidad de una respuesta world-wide a la epidemia de ransomware para romper el modelo comercial de ransomware.

«Esto seguirá sucediendo, a un gran costo para la vida y el tesoro, si no identificamos y detenemos a los actores más importantes, obtenemos una mejor alerta temprana y ayudamos a las empresas a mejorar su ciberseguridad», dijo.

Sospecha de un grupo de hackers

CNBC informó el miércoles que REvil estaba detrás del ataque. Según una investigación de Cybereason, el REvil gang es el mayor cartel de ransomware con la mayor participación de mercado en el negocio de ransomware como servicio con ganancias estimadas de más de $ 100 millones en 2020. Además, los investigadores de seguridad de Cybereason encontraron que el 60% de los objetivos están en los EE. UU. y en empresas de servicios profesionales y de fabricación mayorista. Cyberazon también conecta a REvil con los recientes ataques a Acer y Apple.

Felipe Duarte, investigador de seguridad de Appgate, dijo que no está claro dónde comenzó la violación, pero que es posible que una campaña de ingeniería social haya infectado a los empleados a través de correos electrónicos de spear-phishing y luego se haya expandido a la red interna mediante la explotación de sistemas vulnerables cercanos.

Duarte enumeró las vulnerabilidades más utilizadas en estos ataques como:

  • CVE-2019-19781: ampliamente utilizado por grupos de ransomware como Sodinokibi para explotar servidores Citrix obsoletos
  • CVE-2019-11510: utilizado para explotar dispositivos VPN Pulse vulnerables
  • ProxyLogin: un conjunto de vulnerabilidades de Microsoft Trade que actualmente utilizan varias familias de malware, incluido el nuevo EpsilonRed, para explotar los servidores Exchange locales.

«Si una empresa tiene sistemas expuestos a World wide web, estas vulnerabilidades pueden provocar un ataque sin la necesidad de engañar a un empleado», dijo. «También abren la puerta a otros vectores de infección comunes basados ​​en la explotación de credenciales débiles».

Duarte también señala que, aunque JBS afirma que el ataque no afectó a sus servidores de respaldo, puede llevar algún tiempo restaurar toda la pink y revelar todos los sistemas afectados.

«Esperamos un impacto significativo en la cadena de suministro de carne dependiendo de cuánto tiempo tarden los sistemas JBS en recuperarse», dijo.

Tom Hoffman, vicepresidente senior de Inteligencia, Flashpoint dijo que si la empresa se vio afectada por un ataque de ransomware, algunos de los datos podrían aparecer en los vertederos dentro de 10 a 14 días, o antes si el grupo de amenazas ve que la empresa se está recuperando. y no tiene la intención de pagar por las claves de descifrado.

Ver también



Enlace a la noticia authentic