Editorial de iStock/imágenes falsas
En abril de 2023, Pulse Secure emitió un parche urgente para una vulnerabilidad en su popular software VPN corporativo, una vulnerabilidad que no solo permitía a los atacantes remotos obtener acceso sin un nombre de usuario o contraseña, sino también desactivar la autenticación de múltiples factores y ver los registros. nombres de usuario y contraseñas almacenados en caché por el servidor VPN en texto sin formato. Ahora, un grupo de ciberdelincuentes está utilizando esa vulnerabilidad para atacar e infiltrarse en las víctimas, robar datos y plantar ransomware.
Travelex, la compañía de seguros de viaje y cambio de moneda extranjera, parece ser la última víctima del grupo. En la víspera de Año Nuevo, la empresa fue atacada por el ransomware Sodinokibi, también conocido como REvil. Los operadores de ransomware contactaron a la BBC y dijeron que quieren que Travelex pague $ 6 millones (£ 4,6 millones). También afirmaron haber tenido acceso a la red de Travelex durante seis meses y haber extraído cinco gigabytes de datos de clientes, incluidas fechas de nacimiento, información de tarjetas de crédito y otra información de identificación personal.
«En el caso de pago, eliminaremos y no utilizaremos ese [data]base y restaurarles toda la red”, dijo a la BBC el individuo que afirma ser parte de la operación Sodinokibi. “El plazo para duplicar el pago es de dos días. Luego otros siete días y la venta de toda la base».
El investigador de seguridad Kevin Beaumont descubrió que Travelex tenía siete servidores Pulse Secure sin parchear. Un exploit para la vulnerabilidad ha estado disponible en los tablones de anuncios de Internet desde agosto de 2023.
Trucos de juegos grandes
Travelex no es la única víctima que recibe grandes demandas de rescate. Desde el 1 de enero, se han agregado siete víctimas al marcador de REvil:
REvil está comenzando el año fuerte, pidiendo algo de dinero en efectivo. Estamos trabajando en un blog que describe lo malo que es, con la esperanza de lanzarlo a finales de mes.
CC @GossiTheDog pic.twitter.com/0Katzxd7aW
— rik van duijn (@rikvduijn) 6 de enero de 2023
La campaña de ransomware Sodinokibi/REvil surgió la primavera pasada. Cisco Talos lo identificó por primera vez en abril de 2023 en un ataque que aprovechó una vulnerabilidad del servidor Oracle WebLogic. El ransomware en sí explota una vulnerabilidad en el componente Win32k de Windows que permite la elevación de sus privilegios, lo que le permite eliminar una lista de procesos que podrían evitar que cifre archivos, borre el contenido de algunas carpetas y cifre el contenido de otras, incluida la red. Comparte.
El malware también envía información básica sobre el sistema infectado. Pero REvil en sí mismo no tiene ningún medio de autopropagación. En su lugar, los atacantes han utilizado varios métodos de acceso para instalar y ejecutar el malware con niveles cada vez mayores de sofisticación, incluidas campañas de spam, ataques a servicios de protocolo de escritorio remoto y, en varios casos, la explotación de proveedores de servicios gestionados, para atacar a sus clientes.
Según los datos del motor de búsqueda de seguridad Shodan, todavía hay más de mil servidores Pulse Secure vulnerables operados por organizaciones en los EE. UU., a pesar de las advertencias de la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Marketingdecontenido en octubre. Más ataques como el que golpeó a Travelex parecen inevitables.
