aurich lawson
El día que Apple iba a anunciar una gran cantidad de nuevos productos en su evento Spring Loaded, apareció una filtración de un trimestre inesperado. La notoria pandilla de ransomware REvil dijo que había robado datos y esquemas del proveedor de Apple Quanta Computer sobre productos inéditos y que venderían los datos al mejor postor si no recibían un pago de $ 50 millones. Como prueba, publicaron un caché de documentos sobre los próximos MacBook Pro inéditos. Desde entonces, agregaron esquemas de iMac a la pila.
La conexión con Apple y el momento dramático generaron rumores sobre el ataque. Pero también refleja la confluencia de una serie de tendencias inquietantes en ransomware. Después de años de refinar sus técnicas de encriptación masiva de datos para bloquear el acceso de las víctimas a sus propios sistemas, las bandas criminales se están enfocando cada vez más en el robo de datos y la extorsión como la pieza central de sus ataques, y en el proceso hacen demandas sorprendentes.
“Nuestro equipo está negociando la venta de grandes cantidades de dibujos confidenciales y gigabytes de datos personales con varias marcas importantes”, escribió REvil en su publicación sobre los datos robados. “Recomendamos que Apple compre los datos disponibles antes del 1 de mayo”.
Durante años, los ataques de ransomware involucraron el cifrado de los archivos de la víctima y una transacción simple: pagar el dinero, obtener la clave de descifrado. Pero algunos atacantes también incursionaron en otro enfoque: no solo cifraron los archivos, sino que primero los robaron y amenazaron con filtrarlos, agregando un apalancamiento adicional para garantizar el pago. Incluso si las víctimas pudieran recuperar sus datos afectados de las copias de seguridad, corrían el riesgo de que los atacantes compartiesen sus secretos con todo Internet. Y en los últimos años, destacadas pandillas de ransomware como Maze han establecido el enfoque. Hoy incorporar la extorsión es cada vez más la norma. Y los grupos incluso han ido un paso más allá, como es el caso de REvil y Quanta, centrándose completamente en el robo y la extorsión de datos y sin molestarse en cifrar archivos en absoluto. Son ladrones, no captores.
“El cifrado de datos se está convirtiendo cada vez menos en una parte de los ataques de ransomware”, dice Brett Callow, analista de amenazas de la empresa de antivirus Emsisoft. “De hecho, ‘ataque de ransomware’ es probablemente un nombre inapropiado ahora. Estamos en un punto en el que los actores de amenazas se han dado cuenta de que los datos en sí se pueden usar de muchas maneras”.
En el caso de Quanta, los atacantes probablemente sientan que han tocado un nervio, porque Apple es notoriamente reservada sobre la propiedad intelectual y los nuevos productos en desarrollo. Al atacar a un proveedor aguas abajo en la cadena de suministro, los atacantes obtienen más opciones sobre las empresas a las que pueden extorsionar. Quanta, por ejemplo, también suministra a Dell, HP y otras grandes empresas de tecnología, por lo que cualquier violación de los datos de los clientes de Quanta sería potencialmente valiosa para los atacantes. Los atacantes también pueden encontrar objetivos más fáciles cuando buscan proveedores externos que pueden no tener tantos recursos para canalizar hacia la seguridad cibernética.
“El equipo de seguridad de la información de Quanta Computer ha trabajado con expertos de TI externos en respuesta a ataques cibernéticos en una pequeña cantidad de servidores de Quanta”, dijo la compañía en un comunicado. Agregó que está trabajando con las autoridades policiales y de protección de datos “en relación con las actividades anormales observadas recientemente. No hay un impacto material en la operación comercial de la compañía”.
Apple se negó a comentar.
“Hace un par de años, realmente no veíamos mucho ransomware más extorsión en absoluto, y ahora hay una evolución hasta eventos solo de extorsión”, dice Jake Williams, fundador de la firma de seguridad cibernética Rendition Infosec. “Puedo decirles como respondedores de incidentes que las personas han mejorado en responder a los eventos de ransomware. Es más probable que las organizaciones con las que trabajo hoy en día puedan recuperarse y evitar pagar un rescate con las técnicas tradicionales de cifrado de archivos”.
La demanda de $ 50 millones puede parecer extraordinaria, pero también encaja con la reciente tendencia de ransomware de caza mayor. Según se informa, REvil le puso la misma suma a Acer en marzo, y la demanda promedio de ransomware se duplicó entre 2023 y 2023. Las grandes empresas se han convertido en un objetivo más popular específicamente, porque potencialmente pueden permitirse grandes pagos; es una estafa más eficiente para un grupo criminal que improvisar pagos más pequeños de más víctimas. Y los atacantes ya han estado experimentando con estrategias para presionar a las víctimas de extorsión, como ponerse en contacto con personas o empresas cuyos datos podrían verse afectados por una violación y decirles que alienten a un objetivo a pagar. Apenas esta semana, un grupo de ransomware amenazó con proporcionar información a vendedores en corto de empresas que cotizan en bolsa.
Presumiblemente, una empresa como Apple se tomaría en serio la amenaza de filtrar propiedad intelectual. Pero otras organizaciones, especialmente aquellas que tienen datos personales regulados de los clientes, tienen aún más incentivos para pagar si creen que ayudarán a encubrir un incidente. Un rescate de siete cifras puede parecer atractivo si la divulgación de una infracción puede dar lugar a multas reglamentarias de 2 millones de dólares en virtud de leyes como el RGPD de Europa o la Ley de Privacidad del Consumidor de California.
“Incluso si Apple específicamente pagara u obligara a pagar a través de Quanta ahora, eso no lo convierte necesariamente en un modelo confiable y repetible para los atacantes”, dice Williams. “Pero hay una gran cantidad de organizaciones que tienen datos regulados, y el costo de sus posibles multas es bastante predecible, por lo que puede ser más confiable y de lo que deberían preocuparse los defensores”.
El potencial de ataques de extorsión contra los proveedores de la cadena de suministro aumenta los riesgos de todas las empresas. Y dado que históricamente las organizaciones a menudo han pagado rescates en secreto, una fuerza que puede impulsar aún más transacciones en esa dirección solo aumentará el desafío de controlar las bandas de ransomware. El Departamento de Justicia dijo el miércoles que está lanzando un grupo de trabajo Marketingdecontenido destinado a abordar la amenaza cada vez mayor del ransomware.
Dada la agresividad con la que ha evolucionado el ransomware, y a escala interMarketingdecontenido, estarán más que ocupados.
Esta historia apareció originalmente en wired.com.
