imágenes falsas
El ciberataque que detuvo algunas operaciones en el procesador de carne más grande del mundo esta semana fue obra de REvil, una franquicia de ransomware conocida por su serie cada vez mayor de tácticas despiadadas diseñadas para extorsionar al precio más alto.
El FBI hecho la atribución el miércoles, un día después de que surgiera la noticia de que JBS SA, con sede en Brasil, había experimentado un ataque de ransomware que provocó el cierre de al menos cinco plantas con sede en Estados Unidos, además de instalaciones en Canadá y Australia.
Rescate de alta presión
REvil y sus afiliados cuentan aproximadamente 4 por ciento de ataques al sector público y privado. En la mayoría de los aspectos, REvil es una empresa de ransomware bastante normal. Lo que lo distingue es la crueldad de sus tácticas, que están diseñadas para ejercer la máxima presión sobre las víctimas.
“En algunos aspectos, REvil es un ‘pionero’ … siendo uno de los primeros en adoptar las víctimas de blogs públicos y se inclina mucho hacia el lado de la ‘doble extorsión'”, Jim Walter, investigador sénior de amenazas de la firma de seguridad SentinelOne, dijo en un mensaje de texto. “También fueron los primeros experimentadores con la subasta de datos robados. Algunas subastas tuvieron éxito, otras no, pero los datos potencialmente robados de víctimas seleccionadas habrían estado disponibles para el mejor postor”.
En un caso, el sitio web oscuro REvil publicó una captura de pantalla que pretendía mostrar que la pornografía estaba presente en una carpeta de archivos temporales de una computadora que pertenecía al director de TI de una gran empresa que recientemente había sido víctima del grupo.
“Mientras se sacudía la polla, descargamos varios cientos de gigabytes de información privada sobre los clientes de la empresa”, decía la publicación. “Dios bendiga sus manos peludas. ¡Amén!”
REvil es también el grupo que hackeó a Grubman, Shire, Meiselas & Sacks, el bufete de abogados de celebridades que representó a Lady Gaga, Madonna, U2 y otros artistas de primer nivel. Cuando REvil exigió 21 millones de dólares a cambio de no publicar los datos, el bufete de abogados supuestamente ofrecido
Otras víctimas de REvil incluyen a Kenneth Copeland, SoftwareOne, Quest y Travelex.
El año pasado, REvil comenzó a subastar la información confidencial de las víctimas que se niegan a pagar. En marzo, el grupo anunció un nuevo servicio que se pone en contacto con los medios de comunicación y los socios de las víctimas para informarles de una infracción. REvil también puede amenazar a las víctimas con ataques DDoS.
REvil apareció por primera vez en abril de 2019 y rápidamente desarrolló una reputación de destreza técnica cuando utilizó funciones legítimas de la CPU para eludir los sistemas de seguridad. En abril de este año, Kaspersky clasificado REvil como el grupo de ransomware número tres.
Cadenas de suministro amenazadas
En abril, REvil robó datos del fabricante Quanta Computer y luego exigió 50 millones de dólares a Apple a cambio de no publicar los datos técnicos que había obtenido de productos Apple inéditos. El grupo pasó a publicar esquemas para dos productos de Apple el día en que se anunciaron. Desde entonces, los datos se eliminaron por razones desconocidas.
El incidente de esta semana se produjo tres semanas después de que el ransomware cerrara el Colonial Pipeline, un evento que provocó escasez de gasolina y combustible para aviones en la costa este de los EE. UU.
La producción comenzó a reanudarse en las plantas de carne de res de JBS con sede en EE. UU. El miércoles, aunque miles de trabajadores de JBS en los EE. UU., Canadá y Australia tuvieron turnos ajustados o cancelados a principios de esta semana.
Dichos ataques de ransomware continúan exponiendo la fragilidad de las cadenas de suministro del país mientras los líderes de los sectores público y privado luchan, en gran parte en vano, por contener la amenaza.