REvil golpea a contratista de armas nucleares de EE. UU.: Informe - Calendae | Informática, Electrónica, CMS, Ciberseguridad

REvil golpea a contratista de armas nucleares de EE. UU.: Informe

Hola de nuevo. Te habla Eduardo Arroyo y en esta ocasión vamos a hablar sobre REvil golpea a contratista de armas nucleares de EE. UU.: Informe

REvil golpea a contratista de armas nucleares de EE. UU.: Informe

«Por la presente nos reservamos el derecho (sic) de enviar toda la documentación y datos relevantes a las agencias militares de nuestra elección (sic)», según REvil.

Sol Oriens, un subcontratista del Departamento de Energía de los Estados Unidos (DOE) que trabaja en armas nucleares con la Administración Nacional de Seguridad Nuclear (NNSA), el mes pasado fue golpeado por un ciberataque que, según los expertos, provino de la implacable pandilla REvil de ransomware-as-a-service (RaaS).

El sitio web de la compañía de Albuquerque, NM no ha sido accesible desde al menos el 3 de junio, pero los funcionarios de Sol Oriens confirmaron un Fox News y para CNBC que la empresa se enteró de la infracción el mes pasado.

La declaración de la empresa, capturada en un Transmitir tweets publicado por Eamon Javers de CNBC el jueves:

“En mayo de 2021, Sol Oriens se enteró de un incidente de ciberseguridad que afectó nuestro entorno de red. La investigación está en curso, pero recientemente determinamos que una persona no autorizada adquirió ciertos documentos de nuestros sistemas. Estos documentos se encuentran actualmente en revisión y estamos trabajando con una firma forense de tecnología de terceros para determinar el alcance de los datos potenciales que pueden haber estado involucrados. Actualmente no tenemos indicios de que este incidente involucre información clasificada de clientes o relacionada con la seguridad. Una vez finalizada la investigación, nos comprometemos a informar a las personas y entidades cuya información esté involucrada … «

Como señaló Javers, «no sabemos todo lo que hace esta pequeña empresa», pero publicó un ejemplo de publicación de trabajo indicando que maneja asuntos de armas nucleares: “Asunto principal del sistema de armas nucleares. Experto con más de 20 años de experiencia con armas nucleares como el W80-4 «. La W80 es un tipo de ojiva nuclear transportada en misiles de crucero lanzados desde el aire.

Según una versión archivada y su Perfil de Linkedin, Sol Oriens es una «pequeña empresa consultora de propiedad de veteranos centrada en la gestión de tecnologías y conceptos avanzados con un gran potencial para aplicaciones militares y espaciales» que trabaja con el «Departamento de Defensa y el Departamento de Organizaciones de Energía, contratistas aeroespaciales y empresas de tecnología (sic) ejecutan programas complejos… Nos enfocamos en asegurar que las tecnologías bien desarrolladas estén disponibles para mantener una Defensa Nacional fuerte ”.

Lo que fue robado

Brett Callow, analista de amenazas y experto en ransomware de la firma de seguridad Emsisoft, dijo Madre Jones de haber identificado la información privilegiada de Sol Oriens publicada en el blog de la web oscura REvil.

Al menos por ahora, los datos parecen bastante benignos: según se informa, muestran lo que Mother Jones describió como «un formulario de recibo de pago corporativo de septiembre de 2020, que muestra un puñado de nombres de empleados, números de seguro social y pago trimestral. También hay un registro de contratos corporativos y parte de una nota que describe los planes de capacitación de los trabajadores (la nota tiene los logotipos de los programas de defensa del Departamento de Energía y la NNSA en la parte superior).

Queda por ver si REvil, o cualquier otra pandilla que resulte responsable del ataque, consiguió información más sensible y secreta sobre las armas nucleares del país. Pero el hecho de que haya logrado algo es, por supuesto, profundamente preocupante. Como señaló Mother Jones, la NNSA es responsable de mantener y asegurar las existencias de armas nucleares de la nación y trabajar en aplicaciones nucleares para el ejército, junto con otras misiones muy delicadas.

Dada toda esta responsabilidad, ¿no deberían los perfiles de seguridad de los subcontratistas ser lo suficientemente ajustados como para repeler a REvil u otros ciberataques? REvil supuestamente culpó a la víctima, señalando a Sol Oriens con el dedo y escribiendo que el subcontratista «no tomó todas las acciones necesarias para proteger los datos personales de sus empleados y el desarrollo de software para las empresas asociadas». La pandilla de atacantes cibernéticos escribió que arriba dos capturas de pantalla de datos presuntamente robados, agregando que …

Por la presente, nos reservamos el derecho (sic) de enviar toda la documentación y los datos relevantes a las agencias militares de nuestra elección (sic), incluidos todos los datos personales de los empleados.

Se contactó con Threatpost para recibir comentarios del DOE. Un portavoz del DOE se negó a comentar con Mother Jones. El medio de comunicación también se puso en contacto con un portavoz de la oficina del FBI en Albuquerque, quien se negó a confirmar o negar que la agencia estuviera investigando el asunto.

El REvil «implacable»

No sería sorprendente si los informes iniciales sobre la responsabilidad de REvil resultaran ser precisos. Las ambiciones del grupo RaaS son aparentemente ilimitadas. A principios de esta semana, un funcionario de JBS Foods confirmó que la compañía pagó el equivalente a $ 11 millones en rescate luego de un ataque cibernético que obligó a la compañía a cerrar algunas operaciones en los EE. UU. Y Australia durante el fin de la semana del Día de los Caídos.

REvil es conocido tanto por sus atrevidos ataques contra las organizaciones más grandes del mundo como por sus redenciones astronómicas. En abril, puso a prueba a Apple pocas horas antes del lanzamiento de un nuevo producto sensacional, exigiendo una enorme tarifa de extorsión de 50 millones de dólares, una medida audaz, incluso para la infame banda de ransomware como servicio (RaaS). El original ataque lanzado contra Quanta, un fabricante de productos electrónicos de la lista Global Fortune 500, que cuenta con Apple entre sus clientes. A la empresa con sede en Taiwán se le ha encomendado la tarea de ensamblar productos Apple, incluidos Apple Watch, Apple Macbook Air y Pro y ThinkPad, a partir de una serie de esquemas de diseño proporcionados por Apple.

Los investigadores de FireEye también informaron que los actores que afirmaron tener acceso a la red SolarWinds incluyeron uno con enlaces a la banda de ransomware REvil / Sodinokibi, aunque eso no necesariamente lo hace cierto.

La reprimenda reportada por REvil plantea la pregunta: si bien no está claro a qué datos pudieron acceder los atacantes, si tomamos literalmente las palabras de la pandilla que robó lo que dice haber robado, entonces qué «acción necesaria» para proteger supuestamente datos personales comprometidos de los empleados datos e información sobre el desarrollo de software ¿podría haber hecho Sol Oriens para repeler este ataque?

La respuesta, desafortunadamente, es probablemente tan variada como la implacabilidad, perseverancia y cualquier táctica necesaria del grupo. El viernes, la empresa de ciberseguridad Sophos emitió un relación detallando cómo, como afirma la empresa, «no hay dos grupos criminales que despliegan el [RaaS] … exactamente de la misma manera «.

En un ataque reciente, por ejemplo, la organización objetivo «vio un gran volumen de intentos fallidos de inicio de sesión de RDP entrante dirigidos al servidor que finalmente se convirtió en un punto de acceso para los atacantes», escribieron los investigadores de Sophos. “En un servidor típico, el registro que almacena los intentos fallidos de acceder a servicios como RDP se renueva, sobrescribiendo los datos más antiguos, durante un período que varía de varios días a semanas, dependiendo de cuántos intentos fallidos se hayan realizado. En este ataque, el volumen de eventos de fallas de inicio de sesión de RDP hizo que los archivos de registro se sobrescribieran por completo con nuevas entradas cada cinco minutos. Los datos recopilados de ese servidor mostraron alrededor de 35,000 intentos fallidos de inicio de sesión durante un período de cinco minutos, de 349 direcciones IP únicas en todo el mundo.

De los 35.000 intentos de inicio de sesión por fuerza bruta realizados cada cinco minutos, estos fueron los nombres de usuario más comunes que los atacantes intentaron usar. Fuente: Sophos

Los investigadores notaron que RDP ‘ha sido implicado como uno de los métodos más comunes de violar una red en los casos que se nos ha pedido que investiguemos, por lo que cerrar el acceso del mundo exterior a RDP es una de las defensas más efectivas. un administrador de TI puede tomar «.

Desafortunadamente, la defensa no es tan sencilla como desactivar el RDP, dada la variabilidad de las técnicas utilizadas por los afiliados a las pandillas, escribieron. «RDP no fue el único culpable: los atacantes también obtuvieron acceso inicial a través de otros servicios de Internet que pudieron usar por fuerza bruta o lanzar un exploit contra una vulnerabilidad conocida que les permitía acceder. En un caso, el atacante apuntó a un error en software de servidor VPN específico para obtener acceso inicial, luego explotó un error en una versión de Apache Tomcat de hace cinco años en el mismo servidor que permitió al atacante crear una nueva cuenta de administrador en el servidor «.

¿Consecuencias de los ciberataques audaces y peligrosos?

David Bishop, CISO de la firma de servicios de seguridad gestionada global Trustwave, dijo que necesitamos «repercusiones más serias» para este tipo de ataque. «Estamos viendo que los adversarios avanzados se vuelven mucho más audaces con respecto a quiénes están atacando, cómo están chantajeando a la organización objetivo y cómo están monetizando sus activos robados», dijo a Threatpost en un correo electrónico el viernes.

«La mayoría de estos grupos organizados están motivados económicamente, pero si este tipo de atacantes cambia su motivación de monetaria a dañina, deberíamos esperar resultados serios en el mundo real», continuó Bishop. “Solo hemos visto la punta del iceberg en términos de efectos en el mundo real con los ciberataques en JBS y Colonial Pipeline. Los sectores público y privado deben coordinarse estrechamente sobre lo que podemos lograr en términos de duras acciones legales u ofensivas para combatir estas amenazas, de lo contrario estos adversarios continuarán atacando a su antojo «.

Descargue nuestro exclusivo eBook Insider GRATUITO en Threatpost, «2021: la evolución del ransomware« para ayudarlo a perfeccionar sus estrategias de defensa cibernética contra este flagelo creciente. Vayamos más allá del status quo para descubrir qué sigue para el ransomware y sus riesgos emergentes. Obtenga toda la historia y DESCARGAR el eBook ahora – ¡sobre nosotros!

.

No te olvides compartir en tus redes sociales para que tus amigos lo sepan

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *