Apple. Los servidores de Quanta, que fabrica computadoras y otros productos para la empresa, se vieron comprometidos y los atacantes robaron imágenes de diseño confidenciales que habían comenzado a filtrar. Amenazaron con que si no obtenían el dinero que querían, darían a conocer todos los datos el 1 de mayo. ¿Quién está detrás de este incidente?
Apple fue afectada por un ataque de ransomware: los cibercriminales le piden USD 50 millones para devolver información confidencial robada que ya comenzó a ser filtrada online. ¿Cómo ocurrió? Los servidores de la empresa Quanta que fabrica MacBooks y otros productos para el gigante informático fueron vulnerados y los atacantes se robaron imágenes de diseños de computadoras y otros dispositivos que produce la empresa.
La filtración fue realizada por REvil, un grupo de hackers de origen ruso que también es conocido con el nombre de Sodinokibi, según informó el portal especializado The Record. Noticias Internacionales.
En un mensaje publicado en un portal de la dark web, REvil dijo que Quanta se negó a pagar para recuperar los datos robados y, por eso ahora decidieron ir tras Apple. El grupo de hackers publicó 21 capturas de pantalla que muestran esquemas de MacBook y amenazaron con publicar nuevos datos todos los días hasta que Apple o Quanta paguen el rescate exigido.
El grupo comenzó a publicar las imágenes robadas el 20 de abril, que coincidió con la fecha en que se hizo el evento de Apple Spring Loaded. El grupo continuará difundido contenido de forma gradual y liberará toda la información robada el 1 de mayo si no recibe el dinero. Y dieron a entender que esto también podría afectar a otras empresas ya que son muchas las compañías que usan los servicios de Quanta.
“Nuestro equipo está negociando la venta de grandes cantidades de dibujos confidenciales y gigabytes de datos personales con varias marcas importantes”, escribieron los secuestradores.
Por su parte, desde Quanta confirmaron que hubo un ataque a una “pequeña cantidad de servidores” y aseguraron que no hubo “un impacto material en las operaciones comerciales de la empresa”, según informó Bloomberg.
Los archivos filtrados hasta el momento incluyen diagramas de fabricación para la actualización de MacBook Air 2020 M1 ya lanzada, la nueva iMac lanzada hace dos días y una portátil que aún no se dio a conocer, entre otra información confidencial.
En poco tiempo REvil se hizo conocido por acumular algunos ataques de perfil alto como el que realizó a Acer o a la Agencia de Seguridad Vial Argentina el año pasado. De hecho, REvil es uno de los grupos de ransomware que más actividad registró el año pasado junto con Ryuk, Maze, Doppelpaymer, Netwalker y Conti, según datos de Eset.
Cómo se distribuye el ransomware
No se sabe específicamente cómo entraron en el servidor de Quanta, pero se puede hacer un análisis de los posibles escenarios que pueden haber ocurrido, analizando cómo se suelen perpetrar este tipo de ataques informáticos.
El principal vector o puerta de entrada para este tipo de ataques de devienen en el secuestro y robo de información es el uso de RDP, siglas que corresponden a Remote Desktop Protocol, que en español se traduce como Protocolo de Escritorio Remoto. El protocolo RDP le permite al usuario acceder de forma remota a una computadora que está en otro sitio. Este tipo de tecnología tuvo una expansión importante durante la pandemia, en la cual se implementó el trabajo remoto.
“Según una charla realizada en la conferencia RSA de febrero de 2020 por el agente del FBI Joel DeCapua, el RDP es el primer vector utilizado para comprometer a las empresas con ransomware, siendo que más del 80% de los ataques de ransomware exitosos se llevaron adelante logrando vulnerar la red mediante ataques de fuerza bruta a las credenciales del RDP para luego en determinado momento ejecutar el ransomware”, destacaron en el blog de cibereseguridad WeLiveSecurity.
En otras ocasiones, los atacantes logran entrar explotando vulnerabilidades en herramientas o tecnologías utilizadas para el acceso remoto a redes de Windows. En otros casos, aunque en menor medida, el ransomware se distribuye a través de botnets o la descarga de otro software malicioso.
En este último año se ha visto un incremento de ataques dirigidos, es decir que van tras víctimas en particular, usualmente empresas que saben pueden estar dispuestas a pagar un rescate abultado con tal de evitar que se difunda información crítica y confidencial.
Con información de infobae.