Un ataque del ransomware REvil impactó los sistemas de Quanta Computer, uno de los más importantes fabricantes de computadoras y socio del gigante tecnológico. Una particularidad de este caso es que, al parecer, luego de no recibir respuesta por parte del proveedor, los cibercriminales se contactaron directamente con Apple para extorsionar a la compañía y amenazarla para que paguen un rescate de 50 millones de dólares antes del 27 de abril y así evitar que publiquen la información robada.
Lectura recomendada:
Ransomware: qué es y cómo funciona
Los grupos de ransomware con mayor actividad el último año
Vale la pena mencionar que Quanta Computer, la víctima directa del ransomware, se trata de una compañía cuya sede principal se encuentra en Taiwán y que tiene una cartera de clientes que incluyen a Dell, HP, Lenovo y Microsoft, entre otras firmas de renombre.
Según afirman los cibercriminales, entre los datos robados hay dibujos de planos confidenciales y varios gigabytes de datos personales de otras varias compañías, los cuales amenazan con publicar en su sitio al que se accede a través de Tor.
El ransomware REvil, también conocido como Sodinokibi, es el mismo que afectó el año pasado a BancoEstado en Chile y a Telecom en Argentina. Opera como un Ransomware-as-a-Service (RaaS), es decir que existe un programa de afiliados que permite a otros criminales tener acceso a la amenaza para distribuirla independientemente y compartir ganancias. Se trata de un grupo que está activo desde abril de 2019 y que apunta tanto a grandes compañías como a pequeñas empresas, adaptando los montos que exige por el rescate según las características de la víctima. Los vectores de ataque que más comúnmente ha utilizado son mediante fuerza bruta al RDP, correos de spearphishing, explotación de vulnerabilidades y exploit kits como Trickbot, por ejemplo.
Según dijo un vocero de Quanta Computer a BleepingComputer, su equipo de seguridad trabajó con expertos externos para dar respuesta a unos ataques a unos pocos servidores y que se han comunicado con las autoridades de la fuerza de la ley y de la protección de datos a partir de lo que ha ocurrido. Por otra parte, afirman que no sufrieron un impacto material que afecte a la operatoria de la compañía.
Asimismo, desde Quanta dijeron al medio que los mecanismos de seguridad se activaron rápidamente y comenzaron a trabajar en la contención y en asegurarse que los procesos de recuperación de datos estaban en proceso y en reestablecer el funcionamiento de los equipos afectados.
Como vemos, la seguridad de los activos de una organización excede muchas veces los límites propios y depende de las medidas de seguridad y respuesta que implementen otros actores con los que interactua en el proceso productivo. Solo resta ver si se trata de un comportamiento aislado o si en el futuro veremos más casos en los que los grupos de ransomware se contactan con una empresa que sufre consecuencias colaterales de un ataque a otra compañía.
Lectura recomendada: Ataques de ransomware y su vínculo con el teletrabajo