La consultora internacional Accenture fue víctima de un ataque del ransomware a manos de Lockbit 2.0. La banda detrás de este ransomware publicó el nombre de Accenture en el sitio que utilizan para publicar la información robada de sus víctimas y así presionarlas para que paguen el rescate. Si bien el miércoles el grupo publicó la información, horas más tarde dio marcha atrás en sus pasos y postergó para el jueves 12 de agosto la publicación completa. Por su parte, Accenture confirmó que identificó actividad irregular en sus sistemas, pero que rápidamente contuvieron el problema y aislaron los servidores afectados. Asimismo, la consultora afirmó que el incidente no afectó sus operaciones ni los sistemas de sus clientes.
Por su parte, la compañía Cyble afirmó a través de su cuenta de Twitter que los actores de amenazas aseguran haber robado 6TB de información y que están solicitando un rescate por 50 millones de dólares.
Lectura recomendada: Ransomware: ¿Pagar o no pagar? ¿Es legal o ilegal?
La semana pasada, el Centro de Ciberseguridad Australiano (ACSC) emitió un comunicado advirtiendo sobre el incremento de los ataques del ransomware Lockbit 2.0 contra entidades de Australia. En el sitio que utiliza el grupo para publicar la información de sus víctimas figuran empresas de múltiples países, incluyendo dos empresas de Brasil. Solo los ataques publicados el 11 de agosto corresponden a empresas de Indonesia, Irlanda, España y Estados Unidos.
De acuerdo con lo que han observado recientemente desde el ACSC, como mecanismo de acceso inicial a las redes corporativas los criminales están explotando vulnerabilidades conocidas, como la CVE-2018-13379 en productos de Fortinet. Aunque otras investigaciones realizadas entre marzo y abril de este año afirman que uno de los métodos más frecuentes utilizados por el grupo es la compra de accesos a servidores comprometidos y al RDP en mercados clandestinos.
Lectura recomendada: La actividad del ransomware no se detiene: ¿cómo combatir esta amenaza?
Lockbit 2.0 es un ransomware as a service (RaaS, por sus siglas en inglés). Al igual que otras bandas de ransomware que opera bajo esta modalidad, el grupo busca afiliados para que formen parte del negocio y son estos últimos quienes logran vulnerar los sistemas de las víctimas para luego dividir ganancias con los desarrolladores del malware.
La primera variante de Lockbit fue detectada en septiembre de 2019 y ha estado apuntando a organizaciones de diversos sectores, como servicios profesionales, construcción, retail, entre otros. En junio de este año el grupo comunicó el lanzamiento de la versión 2 (Lockbit 2.0) en la cual los atacantes dicen haber incluido una función para el robo de información conocida como “StealBit”. La misma, aseguran los atacantes, permite descargar automáticamente y de manera muy rápida todos los archivos de la compañía víctima a su blog. Asimismo, el grupo asegura contar con el software de cifrado más rápido (373MB/s) en comparación con el que utilizan otros grupos de ransomware.
Por otra parte, en su sitio el grupo invita a nuevos afiliados a participar, más específicamente a aquellos que tengan accesos a redes corporativas y a quienes tengan acceso a información interna que pueda ser de utilidad para el robar información de valor.