Un grupo de «hackers» con sede en Rusia logró en las últimas semanas infiltrarse en más de sesenta organizaciones y empresas, entre ellas varias agencias del Gobierno de Estados Unidos, la BBC, British Airways y la empresa Shell, encontrando y explotando una vulnerabilidad a gran escala. software utilizado y, según un experto, esto es solo la punta del iceberg.
La Agencia de Infraestructuras y Seguridad Cibernética (CISA) oficial ha reconocido que no tiene pruebas de que estén actuando en coordinación con el Kremlin, y también ha afirmado que no tienen motivaciones políticas.
Los atacantes aprovecharon una vulnerabilidad en el software llamado «MOVEit», que es ampliamente utilizado por organizaciones de todo tipo para cifrar archivos y transferir datos de forma segura.
«El software en sí es utilizado por varias organizaciones que van desde los servicios financieros hasta la atención médica, el gobierno y el ejército. Entonces, naturalmente, si el grupo encontrara esta vulnerabilidad y tuviera tiempo de explotarla, tendría una variedad muy amplia de víctimas». Satnam Narang, ingeniero senior de investigación de la firma de ciberseguridad Tenable, explica en una entrevista con EFE.
Narang destacó que se ha producido un «efecto bola de nieve»: «A medida que pasa el tiempo, la bola de nieve se hace más grande. Vamos a descubrir cada vez más quiénes son estas víctimas, porque, naturalmente, algunas de las víctimas saldrán y lo admitirán, pero no todos lo harán público».
En las últimas 24 horas, el número de víctimas afectadas anunciadas por los piratas informáticos ha pasado de 26 a 63, según compartió en las redes Brett Callow, analista de amenazas de Emsisoft.
LOS PIRATAS RESPALDAN EL ATAQUE
Detrás del ciberataque está el grupo CL0p, que tiene su base de operaciones en Rusia, dijo este jueves un alto funcionario del gobierno estadounidense en declaraciones a la prensa.
Según Narang, CL0p comenzó alrededor de 2019 y es una variante de otro malware o ransomware conocido como CryptoMix.
El grupo había dado a las víctimas hasta el miércoles para contactarlas y pagar un rescate.
En un comunicado escrito en mayúsculas rojas y publicado en una página de la dark web -un conjunto oculto de sitios de internet a los que solo se puede acceder mediante un navegador web especializado- CL0p subrayó hoy que «no le importa la política» y que sólo están «motivados económicamente».
“Queremos recordarles a todas las empresas que ponen datos en Internet donde no hay protección, no nos culpen”, decía el texto de CL0p que compartió Callow.
CL0p DATOS GUBERNAMENTALES BORRADOS
Ayer, en otro mensaje, los hackers advirtieron a las organizaciones oficiales de hackers (mencionaron «un gobierno, una ciudad o un servicio policial») que no necesitaban contactarlos, ya que ya habían «borrado todos sus datos» y «habían no hay interés». en la divulgación de dicha información”.
El motivo de este mensaje, según Narang, es que si atacas abiertamente a estos organismos “básicamente están jugando con fuego”.
«Cuando empiezas a dirigir entidades como gobiernos, ciudades, policías, hospitales, tienes la atención de las agencias gubernamentales de todo el mundo, así que puedes imaginarte a Estados Unidos, Reino Unido, Australia, Nueva Zelanda con los ojos puestos en CL0p y si ven que han tenido este impacto en alguna de sus organizaciones, también movilizarán sus esfuerzos para intentar ir tras estos grupos de ransomware”, subraya el experto.
RECOMPENSAS DEL MILLÓN DE DÓLARES
En cuanto al dinero que el grupo pide a las víctimas, Narang señala que, a diferencia de otros hackers, CL0p no suele hacer pública esta información.
“Invitan a sus víctimas a contactarlos por correo electrónico o un enlace dedicado solo a la víctima. La organización afectada luego va a un chat donde negocia con los representantes de CL0p. La cantidad de dinero, dependiendo del tamaño de la empresa, puede variar de 50.000 dólares a 300.000 o varios millones».
«VERIFICAR EL SOFTWARE»
Ipswitch, la empresa que desarrolló el software pirateado, dio detalles el 5 de junio en un comunicado sobre la vulnerabilidad que se había descubierto en «MOVEit» y anunció que había abierto una investigación, además de trabajar con sus clientes para evitar cualquier daño.
Narang sugiere que las empresas utilicen este tipo de tecnología para «pausar y revisar su software».
«Correcto, realice algún tipo de auditoría de seguridad para determinar si existen o no vulnerabilidades. Si CL0p pudo explotar con éxito las vulnerabilidades en tres tipos de transferencia de archivos, se puede garantizar que apuntarán a otra (vulnerabilidad) en los próximos seis meses.
