El ransomware REvil afectó a un proveedor de Apple y asegura haber robado información confidencial de sus productos y solicita el pago de 50 millones de dólares para que no sean divulgados. Un ataque del ransomware REvil impactó los sistemas de Quanta Computer, uno de los más importantes fabricantes de computadoras y socio del gigante tecnológico. Una particularidad de este caso es que, al parecer, luego de no recibir respuesta por parte del proveedor, los cibercriminales se contactaron directamente con Apple para extorsionar a la compañía y amenazarla para que paguen un rescate de 50 millones de dólares antes del 27 de abril y así evitar que publiquen la información robada.
Vale la pena mencionar que Quanta Computer, la víctima directa del ransomware, se trata de una compañía cuya sede principal se encuentra en Taiwán y que tiene una cartera de clientes que incluyen a Dell, HP, Lenovo y Microsoft, entre otras firmas de renombre.
Según afirman los cibercriminales, entre los datos robados hay dibujos de planos confidenciales y varios gigabytes de datos personales de otras varias compañías, los cuales amenazan con publicar en su sitio al que se accede a través de Tor.
El ransomware REvil, también conocido como Sodinokibi, es el mismo que afectó a BancoEstado en Chile y a Telecom en Argentina. Opera como un Ransomware-as-a-Service (RaaS), es decir que existe un programa de afiliados que permite a otros criminales tener acceso a la amenaza para distribuirla independientemente y compartir ganancias. Se trata de un grupo que está activo desde abril de 2019 y que apunta tanto a grandes compañías como a pequeñas empresas, adaptando los montos que exige por el rescate según las características de la víctima. Los vectores de ataque que más comúnmente ha utilizado son mediante fuerza bruta al RDP, correos de spearphishing, explotación de vulnerabilidades y exploit kits como Trickbot, por ejemplo.
Según dijo un vocero de Quanta Computer a BleepingComputer, su equipo de seguridad trabajó con expertos externos para dar respuesta a unos ataques a unos pocos servidores y que se han comunicado con las autoridades de la fuerza de la ley y de la protección de datos a partir de lo que ha ocurrido. Por otra parte, afirman que no sufrieron un impacto material que afecte a la operatoria de la compañía.
Asimismo, desde Quanta dijeron al medio que los mecanismos de seguridad se activaron rápidamente y comenzaron a trabajar en la contención y en asegurarse que los procesos de recuperación de datos estaban en proceso y en reestablecer el funcionamiento de los equipos afectados.
Como vemos, la seguridad de los activos de una organización excede muchas veces los límites propios y depende de las medidas de seguridad y respuesta que implementen otros actores con los que interactua en el proceso productivo. Solo resta ver si se trata de un comportamiento aislado o si en el futuro veremos más casos en los que los grupos de ransomware se contactan con una empresa que sufre consecuencias colaterales de un ataque a otra compañía.
El malware de tipo Ransomware, a groso modo, funciona cifrando los ficheros existentes en el sistema infectado para después pedir un rescate. Ceder a este chantaje puede suponer un gran riesgo, principalmente porque no tenemos ninguna garantía de que el atacante vaya a descifrar la información. Además, los ciberdelincuentes que realizan este tipo de ataques suelen cuidar mucho su anonimato y requerir el pago utilizando criptomonedas, muy difíciles de trazar y aún más de recuperar.
