Los ciberdelincuentes no descansan, y los ataques a empresas son una constante las 24 horas del día. Hace poco hubo un ciberataque a la empresa MOVEit Transfer; sin embargo, en dicho evento, los atacantes han tomado una medida que se sale de lo habitual en estos casos.
En un comunicado publicado en su blog de la Deep Web, el grupo ciberdelincuente Cl0p anunció que las víctimas tienen siete días para ponerse en contacto con ellos para negociar un pago, antes de que sus datos se publiquen en línea.
Una medida inusual
El enfoque adoptado por el grupo es atípico. En la mayoría de los casos de extorsión, los atacantes suelen dirigirse primero a las víctimas.
Miembros del sector de la ciberseguridad han especulado con la posibilidad de que Cl0p, al que Microsoft atribuyó el ataque a MOVEit a principios de esta semana, haya ingerido demasiados datos como para poder identificar a la empresa a la que pertenece.
«Los atacantes han optado por pedir a sus víctimas que comiencen las tácticas de negociación, poniéndose en contacto inicialmente, pero este enfoque se desvía de la norma. Normalmente, las peticiones de rescate se envían a las organizaciones objetivo con una cantidad predeterminada elegida por los hackers», dijo Jake Moore, asesor global de ciberseguridad de ESET.
«Es probable que esta decisión se deba a la abrumadora magnitud del hackeo en curso, que todavía está afectando a un gran número de sistemas en todo el mundo. De hecho, parece que ha superado las capacidades del propio Cl0p.»
Cl0p dio a las víctimas un plazo hasta el 14 de junio para iniciar las negociaciones. Si no se ponían en contacto con los atacantes, se publicarían los datos robados, según el comunicado del grupo.
Información confusa
La información facilitada era poco clara en algunos puntos. Se dio un plazo final hasta el 14 de junio, pero no está claro si las víctimas pueden ponerse en contacto con Cl0p el día 14, y seguir beneficiándose de la ventana de negociación de tres días, o no.
Cl0p también declaró que los chats de las víctimas se cerrarían y sus datos se publicarían después de diez días de conversaciones infructuosas, lo que aumenta la confusión en torno al verdadero plazo final absoluto para las víctimas. Los autores del ciberataque a MOVEit afirmaron que los datos pertenecientes a servicios gubernamentales, municipales o policiales ya han sido borrados.
«No es necesario que se pongan en contacto con nosotros. No tenemos ningún interés en exponer dicha información», afirmó Cl0p.
¿Una cuestión de ética criminal?
La razón de estas excepciones tiene su origen en la presión social ejercida sobre las operaciones de los ciberdelincuentes. Estas presiones «exigen» que los ataques no se dirijan a organizaciones con bolsillos poco acaudalados, y a las que gestionan servicios esenciales, como hospitales.
En cualquier caso, los expertos han aconsejado mantener la cautela, ya que se sabe que los ciberdelincuentes mienten en este tipo de declaraciones.
«Cl0p afirma haber borrado información relativa a organizaciones del sector público, pero lo que hemos aprendido en el pasado es que no podemos fiarnos de las palabras de los ciberdelincuentes y, por lo tanto, cualquiera que crea que sus datos han sido robados debe permanecer en alerta máxima«, dijo Moore.
«Aunque nunca se aconseja pagar rescates a los ciberdelincuentes, existe el riesgo inevitable de que algunas empresas sucumban a la presión. Esto sólo avivará el fuego y continuará el ciclo de este devastador grupo criminal», continuó diciendo Moore.
Muy bien, pero ¿qué ataque ha sufrido MOVEit realmente?
El ciberataque a MOVEit se produjo el 31 de mayo, cuando saltó la noticia de la explotación de una vulnerabilidad de día cero. Se cree que todas las versiones de MOVEit Transfer están afectadas por la vulnerabilidad. Se ha instado a las organizaciones a aplicar el parche publicado la semana pasada.
La aplicación es utilizada por miles de organizaciones en todo el mundo, y ya ha afectado a British Airways, Aer Lingus, la BBC y el minorista británico Boots. Microsoft Threat Intelligence atribuyó el ataque a la empresa a la organización cibercriminal Cl0p, que se cree que opera desde Rusia. Cl0p es conocido por su homónimo ransomware como servicio (RaaS), pero este año ha adoptado un enfoque puramente extorsivo.
La seguridad, lo primero
La explotación de una vulnerabilidad en el software llevó a ataques exitosos en más de 130 organizaciones, según los propios cálculos del grupo. De hecho, Kaspersky se ha visto envuelta en una polémica sobre seguridad hace poco, lo que demuestra que nadie está exento de este tipo de eventos.