Aurich Lawson
El día en que Apple se dispuso a anunciar una gran cantidad de nuevos productos en su evento Spring Loaded, apareció una fuga desde un lugar inesperado. La notoria banda de ransomware REvil dijo que habían datos y esquemas robados del proveedor de Apple Quanta Computer sobre productos inéditos y que venderían los datos al mejor postor si no recibieran un pago de 50 millones de dólares. Como prueba, publicaron un caché de documentos sobre los próximos MacBook Pros inéditos. Desde entonces, agregaron esquemas de iMac a la pila.
La conexión con Apple y la sincronización dramática generaron rumores sobre el ataque. Pero también refleja la confluencia de una serie de tendencias inquietantes en el ransomware. Después de años de refinando Con sus técnicas de encriptación de datos masivos para bloquear a las víctimas fuera de sus propios sistemas, las bandas criminales se están enfocando cada vez más en el robo de datos y la extorsión como la pieza central de sus ataques, y en el proceso plantean demandas asombrosas.
“Nuestro equipo está negociando la venta de grandes cantidades de dibujos confidenciales y gigabytes de datos personales con varias marcas importantes”, escribió REvil en su publicación sobre los datos robados. “Recomendamos que Apple vuelva a comprar los datos disponibles antes del 1 de mayo”.
Durante años, los ataques de ransomware implicaron el cifrado de los archivos de una víctima y una transacción simple: pagar el dinero, obtener la clave de descifrado. Pero algunos atacantes también incursionaron en otro enfoque: no solo cifraron los archivos, sino que los robaron primero y amenazaron con filtrarlos, lo que agregó un apalancamiento adicional para garantizar el pago. Incluso si las víctimas pudieran recuperar sus datos afectados de las copias de seguridad, corrían el riesgo de que los atacantes compartieran sus secretos con todo Internet. Y en los últimos años, importantes bandas de ransomware como Maze han establecido el enfoque. Hoy en día, incorporar la extorsión es cada vez más la norma. Y los grupos incluso han ido un paso más allá, como es el caso de REvil y Quanta, centrándose completamente en el robo y extorsión de datos y sin molestarse en cifrar archivos en absoluto. Son ladrones, no captores.
“El cifrado de datos se está convirtiendo en una parte menos importante de los ataques de ransomware”, dice Brett Callow, analista de amenazas de la firma antivirus Emsisoft. “De hecho, ‘ataque de ransomware’ es probablemente un nombre inapropiado ahora. Estamos en un punto en el que los actores de las amenazas se han dado cuenta de que los datos en sí pueden utilizarse de muchas formas ”.
En el caso de Quanta, los atacantes probablemente sientan que han tocado un nervio, porque Apple es notoriamente reservado sobre la propiedad intelectual y los nuevos productos en su cartera. Al atacar a un proveedor en la cadena de suministro, los atacantes se dan a sí mismos más opciones sobre las empresas a las que pueden extorsionar. Quanta, por ejemplo, también suministra a Dell, HP y otras grandes empresas de tecnología, por lo que cualquier violación de los datos de los clientes de Quanta sería potencialmente valiosa para los atacantes. Los atacantes también pueden encontrar objetivos más suaves cuando buscan proveedores externos que pueden no tener tantos recursos para canalizar hacia la ciberseguridad.
“El equipo de seguridad de la información de Quanta Computer ha trabajado con expertos de TI externos en respuesta a ataques cibernéticos en una pequeña cantidad de servidores Quanta”, dijo la compañía en un comunicado. Agregó que está trabajando con las autoridades policiales y de protección de datos “en relación con las actividades anormales observadas recientemente. No hay ningún impacto material en las operaciones comerciales de la empresa “.
Apple se negó a comentar.
“Hace un par de años, realmente no veíamos mucho ransomware más extorsión, y ahora hay una evolución hasta los eventos de extorsión solamente”, dice Jake Williams, fundador de la firma de ciberseguridad Rendition Infosec. “Puedo decirle como respuesta a incidentes que la gente ha mejorado en su respuesta a eventos de ransomware. Hoy en día, es más probable que las organizaciones con las que trabajo puedan recuperarse y evitar pagar un rescate con las técnicas tradicionales de cifrado de archivos “.
La demanda de 50 millones de dólares puede parecer extraordinaria, pero también encaja con la reciente tendencia de ransomware de la caza mayor. REvil según se informa poner la misma suma a Acer en marzo, y la demanda media de ransomware supuestamente se duplicó entre 2019 y 2020. Las grandes empresas se han convertido en un objetivo más popular específicamente, porque potencialmente pueden permitirse grandes pagos; es un negocio más eficiente para un grupo delictivo que juntar pagos más pequeños de más víctimas. Y los atacantes ya han estado experimentando con estrategias para presionar a las víctimas de extorsión, como ponerse en contacto con personas o empresas cuyos datos podrían verse afectados por una infracción y decirles que alienten a un objetivo a pagar. Esta misma semana, un grupo de ransomware amenazó con proporcionar información a vendedores en corto de las empresas que cotizan en bolsa.
Una empresa como Apple presumiblemente se tomaría en serio la amenaza de filtración de propiedad intelectual. Pero otras organizaciones, especialmente aquellas que tienen datos personales regulados de los clientes, tienen aún más incentivos para pagar si creen que ayudarán a encubrir un incidente. Un rescate de siete cifras puede parecer atractivo si la divulgación de una infracción puede resultar en 2 millones de dólares en multas reglamentarias bajo leyes como el RGPD de Europa o la Ley de Privacidad del Consumidor de California.
“Incluso si Apple pagaría o exigiría el pago a través de Quanta ahora, eso no necesariamente lo convierte en un modelo confiable y repetible para los atacantes”, dice Williams. “Pero hay una gran cantidad de organizaciones que han regulado los datos, y el costo de sus posibles multas es bastante predecible, por lo que puede ser más confiable y lo que los defensores deberían preocupar”.
El potencial de ataques de extorsión contra los proveedores de la cadena de suministro aumenta los riesgos de todas las empresas. Y dado que, históricamente, las organizaciones a menudo han pagado rescates en secreto, una fuerza que puede impulsar aún más transacciones en esa dirección solo aumentará el desafío de controlar las bandas de ransomware. El Departamento de Justicia dijo el miércoles que es lanzamiento de un grupo de trabajo nacional destinado a abordar la amenaza cada vez mayor del ransomware.
Dada la agresividad con la que ha evolucionado el ransomware, ya escala internacional, estarán más que ocupados.
Esta historia apareció originalmente en wired.com.