Una prolífica banda de delincuentes cibernéticos, probablemente con sede en Rusia, ha dado un ultimátum a las víctimas de un ciberataque que ha afectado a organizaciones de todo el mundo.

El grupo de piratas informáticos Clop advirtió en la dark web (web oscura) a las empresas afectadas por el ataque al software comercial MOVEit que si no les envían un correo electrónico antes del 14 de junio para empezar negociaciones, se publicarán los datos robados.

Más de 100.000 empleados de la BBC, British Airways y Boots han sido informados de que es posible que se hayan filtrado datos de sus nóminas.

Las autoridades siempre recomiendan a las empresas afectadas que no paguen si los piratas informáticos exigen dinero.

Una investigación de seguridad cibernética ya había sugerido que el grupo Clop podría ser responsable del ataque, que se dio a conocer públicamente la semana pasada.

Los delincuentes encontraron una manera de meterse en el popular software comercial MOVEit y luego pudieron usar ese acceso para ingresar a las bases de datos de posiblemente cientos de otras compañías.

Con base en las técnicas utilizadas por el grupo, los analistas de Microsoft dijeron el lunes que creían que el grupo Clop estaba detrás del ataque.

Es algo que ha quedado confirmado en un extenso blog publicado en mal inglés.

El texto, visto por la BBC, dice: “Este es un anuncio para hacer saber a las empresas que usan el producto Progress MOVEit de que es probable que hagamos públicos una gran cantidad de sus datos como parte de un acción excepcional”.

El texto insta a las organizaciones víctimas a enviar un correo electrónico a la banda de delincuentes para comenzar una negociación en la dark web.

Inusual

Esta es una táctica inusual, ya que normalmente son los piratas informáticos quienes envían solicitudes de pago extorsivo por correo electrónico a las organizaciones que han sufrido el ataque, pero aquí están exigiendo que sean las víctimas las que se comuniquen en primer lugar.

Esto podría deberse a que Clop aún no entiende la escala del hackeo que ha cometido y que aún se está procesando en todo el mundo.

“Mi opinión es que tienen tantos datos que les resulta difícil estar al tanto de todo. Están apostando a que, si sabes que has sido hackeado, contactarás con ellos”, dice el director ejecutivo de SOS Intelligence, Amir Hadžipasić.

MOVEit pertenece a la empresa estadounidense Progress Software.

Sirve para que muchas compañías muevan archivos de forma segura en los sistemas de la empresa.

El proveedor de servicios de nómina Zellis, con sede en el Reino Unido, es uno de sus usuarios.

Zellis ha confirmado que, como resultado del hackeo, se han robado datos de ocho organizaciones de Reino Unido, que incluyen domicilios, números de seguros nacionales y, en algunos casos, datos bancarios.

No todas las empresas han visto los mismos datos expuestos.

Los clientes de Zellis que han sido hackeados incluyen:

• BBC
• British Airways
• Aer Lingus
• Boots

El gobierno de la provincia canadiense de Nueva Escocia y la Universidad de Rochester también han advertido a su personas que es posible que hayan sido víctimas.

Las empresas públicas

El consejo de los expertos es que las personas no entren en pánico y que las organizaciones lleven a cabo controles de seguridad emitidos por autoridades como la Autoridad de Infraestructura y Seguridad Cibernética de los Estados Unidos.

Clop afirma que ha eliminado todos los datos de los servicios gubernamentales, municipales o policiales.

“No se preocupe, borramos sus datos, no necesita contactarnos. No tenemos ningún interés en exponer dicha información”, escribió el grupo.

Sin embargo, los investigadores dicen que no se puede confiar en los criminales.

“La afirmación de Clop de haber eliminado información relacionada con organizaciones del sector público debe tomarse con precaución. Si la información tiene valor monetario o podría usarse para phishing, es poco probable que la hayan eliminado”, dijo Brett Callow, analista de Emsisoft.

Los expertos en seguridad cibernética han rastreado durante mucho tiempo los movimientos de Clop, que se cree que tiene su sede en Rusia, ya que opera principalmente en foros en ruso.

Rusia ha sido acusada durante mucho tiempo de ser un refugio seguro para las bandas de cibersecuestro de datos, lo cual niega.

Sin embargo, Clop se ejecuta como un grupo de “ransomware como servicio”, lo que significa que los piratas informáticos pueden alquilar sus herramientas para llevar a cabo ataques desde cualquier lugar.

En 2021, presuntos piratas informáticos de Clop fueron arrestados en Ucrania en una operación conjunta entre Ucrania, Estados Unidos y Corea del Sur.

En ese momento, las autoridades afirmaron haber eliminado al grupo que, según dijeron, era responsable de extorsionar US$500 millones a víctimas en todo el mundo.

Pero Clop ha seguido siendo una amenaza persistente.

En el mundo hay más de 4 mil 500 millones de usuarios de redes sociales como Facebook, Twitter, o Instagram, personas que se han convertido en el objetivo de los hackers y que están expuestas a la ingeniería social, los impostores, la minería de datos y los ciberataques.

Por eso, con motivo del Día Mundial de las Redes Sociales que se celebra el 30 de junio, algunas empresas de ciberseguridad han aprovechado para dar algunos consejos con los que evitar los ataques más habituales.

Según Cisoverso -comunidad privada de profesionales de la ciberseguridad- uno de cada cinco usuarios será atacado en las próximas 24 horas; y es que las redes se han convertido en una vía habitual de acceso a información personal y laboral que permite a los hackers recopilar datos de contactos para lanzar ataques de ‘phishing’ a través de ‘spam’ o para hacer ataques de fuerza bruta.

Por eso, Cisoverso recuerda que es importante concienciar a las personas para que vigilen la información que comparten en redes sociales y que, en caso de ataque, recomienda que denuncien el delito.

“La forma más fácil para hackear perfiles de redes sociales o para conseguir datos personales sigue siendo el phishing”, destaca Enrique Serrano, fundador de HackRocks y miembro del consejo de Cisoverso.

“Los usuarios reciben un email, un mensaje o una foto de alguien conocido o cercano y acaban pulsando sobre un enlace que contiene algún código malicioso que permite al cibercriminal comprometer la cuenta y hacerse con la información que le interesa”, añade.

Algunos de los ataques más habituales y sencillos en Facebook son un mensaje o enlace desde Facebook Messenger que pide al usuario reconfirmar o actualizar su información personal y preferencias; un mensaje de un amigo que te invita a ver una foto o acceder a una promoción, y un correo de Facebook que avisa de un posible incidente de seguridad y pide que actualices la contraseña.

En Instagram el riesgo está en la sincronización con aplicaciones de terceros (edición de fotos y filtros especiales, análisis de seguidores…) para las que hay que conectarse a través del perfil del usuario. Si esas aplicaciones de terceros son un engaño o no son fiables el usuario entrega fácilmente sus credenciales a los cibercriminales.

En LinkedIn, la dificultad en esta red es que la compañía cuenta con varios dominios válidos que pueden llevar a confusión al usuario. Lo habitual es recibir solicitudes de amistad de perfiles falsos que poco a poco intentarán ir sacando información o bien mensajes de actualización de políticas de seguridad.

Twitter se ha convertido en una popular plataforma para ataques de phishing en la que los hackers usan las mismas técnicas y ataques de phishing que en otras redes sociales, aunque el más habitual es el del profesional o hacker que te promete conseguir muchos followers por un par de euros.

En TikTok y Twitch todavía es habitual la estafa a través de perfiles falsos de famosos para robar dinero a sus seguidores.

Y en WhatsApp, además de mensajes reenviados con promociones y cupones fantásticos que vienen acompañados de un enlace malicioso, también es frecuente el mensaje de un amigo o familiar que escribe por un problema de dinero en el aeropuerto o en un viaje fuera del país.

Para evitar estos ciberataques, la empresa de ciberseguridad Bitdefender aconseja revisar la configuración de privacidad de las redes para controlar quién puede ver, reaccionar o comentar los contenidos que compartidos.

Asimismo, recuerda a los usuarios que todas sus interacciones dejan una huella digital que podría afectar a su reputación online, aconseja proteger su información personal, usar contraseñas seguras y acceder a las redes desde dispositivos seguros, denunciar a los usuarios sospechosos o que puedan estar en peligro y bloquearles, y vigilar los mensajes no solicitados y los anuncios que prometen algo demasiado bueno para ser verdad.

Un nuevo grupo de ciberespionaje que ataca principalmente a hoteles de todo el mundo, pero también a gobiernos, organizaciones internacionales, empresas enfocadas a la ingeniería y bufetes de abogados ha sido descubierto por la firma de ciberseguridad ESET, ha informado este jueves en un comunicado.

El grupo ha sido denominado “FamousSparrow” por los investigadores de ESET, quienes estiman que ha estado activo desde, al menos, 2019, y sus víctimas se encuentran en Europa (Francia, Lituania, Reino Unido), Oriente Medio (Israel, Arabia Saudí), América (Brasil, Canadá, Guatemala), Asia (Taiwán) y África (Burkina Faso).

Los objetivos “sugieren que la intención de FamousSparrow es el ciberespionaje, y que podría acabar afectando a otros países, entre ellos España”, agrega la nota de esta empresa internacional.

Durante su investigación, los expertos descubrieron que el grupo aprovechó las vulnerabilidades de Microsoft Exchange conocidas como ProxyLogon.

Los datos indican que el grupo comenzó a explotar las vulnerabilidades el 3 de marzo de 2021, el día siguiente a la publicación de los parches.

“Este es otro recordatorio de que es fundamental parchear rápidamente las aplicaciones orientadas a internet o, si no es posible hacerlo, no exponerlas a internet en absoluto”, según señaló Matthieu Faou, investigador de la empresa de ciberseguriad.

Dimitry Bestuzhev, director de Investigación y Análisis de Kaspersky en América Latina, dijo que uno de los dispositivos por los que más reciben ataques los mexicanos son las USB.

Detalló que tan solo en julio de este año 16.59% de los mexicanos sufrieron un ataque por esta vía, lo que lo coloca en el puesto 108 de todo el mundo que más afectaciones tuvo por este tipo de vías.

El directivo aseguró que el pasado séptimo mes, tuvo un comportamiento inusual ya que se dispararon las amenazas y ataques por este tipo de dispositivos el cual aun sigue siendo uno de los favoritos de la gente para compartir y recibir datos o información.

“Hubo más gente afectada. Todavía esta herramienta es una de las vías por las cuales la gente comparte y envía información, sin embargo es uno de los canales or los que en este mes se llevaron a cabo diversas amenazas”, señaló.

Aunque esta táctica puede parecer un poco anticuada, no es para nada extraño encontrar una empresa o persona que haya sido infectada por medio de un malware que se encontraba en un USB encontrado o recogido de algún sitio.

Lee también: Crecieron al doble los ataques a usuarios de sitios porno en 2018: Kaspersky Lab

El directivo de la firma de seguridad rusa dijo que a veces es difícil dar una cifra exacta de cuántos ataques y de qué tipo se han llevado a cabo, ya que responden a diversos factores o motores como él los nombra.

Detalló que por ejemplo, hay diversas formas de medir este tipo de ataques que van desde correo electrónico hasta navegación en tiempo real.

Insistió en que México es uno de los países más vulnerables y atacados en todo el mundo, y en America Latina ocupa uno de los primeros lugares en esta práctica.

* En alianza con Forbes México y Centroamérica, artículo de Mauricio Hernández Armento.

En este documento, titulado “El Departamento de Defensa está apenas comenzando a darse cuenta de la amplitud de las vulnerabilidades”, GAO (oficina de cuentas del Congreso de EEUU)destaca que el equipamiento militar del país está cada vez más conectado.

Los cazas están repletos de programas informáticos y sensores, el comando operativo se lleva a cabo en pantalla gigante, los soldados se ubican en tierra  gracias a su GPS y los barcos de la Marina de Estados Unidos están cada vez más computarizados, indica el informe.

Estos programas y sensores hacen que los militares sean más eficaces, pero también más vulnerables a ataques informáticos.

Especialistas del Pentágono que hicieron las veces de piratas informáticos mostraron a qué punto les fue fácil piratear los nuevos equipos producidos entre 2012 y 2017.

“En un caso, tan sólo una hora le insumió a un equipo de dos personas penetrar en el sistema informático de un armamento y una jornada para controlar por completo su funcionamiento”, indica el GAO, sin precisar, por razones de seguridad, a qué armamento hace referencia.

En otro caso, los examinadores del Pentágono tomaron el control de las terminales utilizadas durante un ejercicio. Un equipo no sólo pudo controlar el sistema sino que lo manipuló al punto tal que los operadores vieron en su pantalla aparecer una ventana en la que se les pedía que introdujeran una moneda para poder continuar.

El Departamento de Defensa “no conoce la amplitud de las vulnerabilidades de sus sistemas de armamento porque, por un determinado número de razones, el alcance y la sofisticación de las pruebas fueron limitados”.

El Pentágono comenzó a darse cuenta de la gravedad de los peligros y de la necesidad de aumentar la protección de los sistemas informáticos pero tiene problemas para reclutar a expertos, a los que se les paga mejor en el sector privado que en el ejército, subraya el documento, el primero sobre este tema del GAO.

Uno de los planes consiste en contratar a jóvenes diplomados antes de que terminen la universidad, para ofrecerles una primera oportunidad profesional y aprovechar sus saberes.

En momentos en que los países occidentales acusan a Rusia de haber llevado a cabo ciberataques de gran envergadura en los últimos meses, el secretario de Defensa de Estados Unidos James Mattis anunció que Estados Unidos decidió poner a disposición de la OTAN sus capacidades en materia de ciberdefensa.