Apple se convierte en objetivo de ataque de ransomware a Quanta | Los hackers demandan $50m
Los ataques de ransomware han aumentado desde que comenzó la pandemia en diciembre de 2019. De hecho, varios informes muestran que a finales de 2020, los ataques de ransomware habían crecido al menos un 150% , y el rescate promedio exigido se duplicó hasta unos $170000. Los actores maliciosos suelen apuntar a empresas con altos ingresos por el potencial de obtener grandes sumas de dinero. También se ha convertido en una tendencia atacar a grandes fabricantes de tecnología.
Por ejemplo, en noviembre de 2020, Foxconn fue objeto de un ataque de ransomware en el que los hackers responsables eliminaron terabytes de datos de respaldo de más de mil servidores cifrados. Los atacantes pidieron $34 millones antes de liberar los datos cifrados. Para poner en contexto, Foxconn es el mayor fabricante de equipos electrónicos para empresas como Amazon, Sony, Microsoft y Apple. Ese mismo mes, los hackers atacaron a otro fabricante (Compal) con un ataque de ransomware.
Esto demuestra que las grandes empresas de fabricación de tecnología corren ahora el riesgo de sufrir ataques de ransomware más sofisticados. El ataque más reciente ocurrió pocos días antes de finales de abril de 2021. Quanta, una empresa con sede en Taiwán que produce portátiles para grandes empresas tecnológicas, incluyendo Apple, fue víctima de un ataque de ransomware que podría costarle a Apple $50 millones.
¿Qué es el Ransomware?
El ransomware es una forma de malware (software malicioso) que accede a un ordenador y ataca archivos o sistemas cifrándolos y volviéndolos inaccesibles con el objetivo de hacer que la empresa o el dueño pague por su liberación. De la palabra “ransom”, es fácil entender el objetivo final de todos los ataques de ransomware: hacer que la víctima pague un rescate a cambio de la liberación del archivo(s) o sistema(s) secuestrado(s). Una vez que la víctima paga, los atacantes liberan una clave de descifrado que la víctima utiliza para descifrar el archivo(s) o sistema(s) cifrado(s).
La primera forma de ataque de ransomware sucedió en 1989. Desde entonces, las entidades maliciosas han utilizado el avance de la tecnología para perpetrar ataques más sofisticados. La evolución del ransomware ha visto a actores malintencionados ofreciendo servicios como Ransomware-as-a-Service (RaaS) para ampliar su red y capacidades. Los ataques de ransomware móvil también se están volviendo comunes y con la tasa a la que se está expandiendo el uso de la tecnología de Internet de las Cosas, estamos destinados a ver nuevos ataques.
Un malvado grupo de hackers ataca a Apple a través de Quanta
El 20 de abril de 2021, mientras Apple presentaba sus más recientes gadgets en su evento Spring Loaded, uno de los mayores fabricantes de portátiles del mundo fue víctima de un ataque de ransomware perpetrado por un grupo de hackers rusos conocido como REvil. Quanta fabrica MacBooks para Apple, entre otros productos. REvil, también conocido como Sodinokibi, mostró evidencia de su ataque exitoso al publicar los esquemas de los últimos productos de Apple, incluyendo el ya lanzado MacBook Air M1 2020 y los nuevos diseños de iMac.
Un par de días antes de las filtraciones de datos, un usuario con el nombre de UNKN insinuó en XSS (un popular foro de cibercrimen) que se avecinaba un gran anuncio, instando a los hackers a unirse al grupo. Creemos que este usuario representa al grupo de ransomware REvil encargado de anunciar tales noticias y reclutar nuevos afiliados para su programa de ransom-as-a-service.
Quanta ha reconocido que el ataque ocurrió. También dijo que su equipo de seguridad está respondiendo al ataque, pero no hay un impacto significativo en su operación comercial. En la declaración de la compañía, Quanta dijo, «Hemos informado y mantenido comunicaciones fluidas con las autoridades pertinentes de aplicación de la ley y protección de datos en relación con las actividades anormales recientemente observadas. No hay un impacto material en la operación comercial de la compañía». Desde entonces ha actualizado su infraestructura de ciberseguridad para prevenir que esto vuelva a ocurrir.
Estos atacantes exigieron una suma de $50 millones a cambio de las imágenes, pero Quanta se ha negado a pagar, obligándolos a recurrir a la empresa más valiosa del mundo. Es por eso que el grupo REvil lanzó unas 21 imágenes de esquemas de MacBook el mismo día del evento Spring Loaded de Apple; una declaración que no pasaría desapercibida.
También ha amenazado con liberar nuevos datos todos los días hasta que Apple pague el rescate y ha dado un ultimátum hasta el 1 de mayo. REvil reveló toda esta información a través de su «Happy Blog», un sitio que utiliza para compartir públicamente sus hazañas de hacking. Apple no ha lanzado ninguna declaración respecto al ataque y no ha dado ninguna indicación de que vaya a pagar el rescate.
Una Historia del Grupo de Hackers REvil y Sus Explotaciones
Sodinokibi, popularmente conocido como REvil, tiene una reputación por sus ataques de ransomware. Las personas en el ámbito de la seguridad de la información creen que este grupo tiene base en Rusia debido a su renuencia a atacar a empresas rusas o estatales. También creen que es una ramificación de un grupo malicioso anterior: GandCrab. GandCrab fue tan prolífico como lo es ahora REvil, acumulando alrededor de $2 mil millones en rescates en casi dos años. Aproximadamente en la misma época en que GandCrab cesó sus operaciones, REvil comenzó a ganar prominencia.
A diferencia de la mayoría de los grupos de hackers, REvil opera un modelo distinto que le permite obtener más dinero. Utiliza un modelo de Ransomware-como-Servicio (RaaS) donde licencia malware a afiliados de confianza. Luego se queda con un porcentaje del rescate si los afiliados llevan a cabo un ataque exitosamente. REvil también utiliza lo que se conoce como el método de doble extorsión para aumentar las posibilidades de que sus víctimas paguen el rescate. Esto significa que después de encriptar los datos, REvil también transfiere lo que puede a sus servidores con la amenaza de venderlo.
Si una empresa tiene copias de seguridad, aún podría necesitar pagar un rescate si el grupo malicioso ha transferido información sensible a sus servidores. También existe la posibilidad de usar un ataque DDoS al mismo objetivo para aumentar la presión y obligarlo a pagar el rescate. Uno comienza a preguntarse por qué este grupo está haciendo todo lo posible para recaudar fondos. ¿Es para financiar ataques más lucrativos o es simplemente codicia desmedida?
Ahora, echemos un vistazo a algunos de los ataques generalizados que este grupo ha llevado a cabo en el pasado.
1. Gobiernos Locales de Texas
En las primeras horas del 16 de agosto de 2019, REvil atacó a 23 agencias gubernamentales locales de Texas y solicitó un rescate de 2,5 millones de dólares. Los trabajadores de estas agencias no tuvieron acceso a los archivos a los que habitualmente podían acceder. Fue un ataque coordinado por REvil que dejó fuera de servicio los sistemas y sitios web de las agencias. Afortunadamente, REvil no atacó sus sistemas de respaldo, por lo que no cedieron a las demandas. Tras coordinarse con varios equipos de ciberseguridad, estas agencias lograron restaurar el acceso a los archivos y sistemas que el grupo REvil tenía como rehenes.
2. Travelex
Travelex es una empresa que se ocupa del cambio de divisas en todo el mundo. Es muy popular en los aeropuertos, pues facilita el proceso de cambiar su moneda local por otra divisa. El 31 de diciembre de 2019, REvil consiguió acceso a la red de Travelex. Esto sucedió porque Travelex utilizaba un VPN obsoleto y el grupo REvil aprovechó las vulnerabilidades del software sin parchear. Después de infiltrarse en su red, REvil propagó un ransomware que dejó fuera de servicio toda la red de Travelex, exigiendo un rescate de 2,3 millones de dólares.
Travelex no reveló que habían sufrido un ataque de ransomware. En cambio, dijeron que sus sistemas estaban en mantenimiento. Luego, pagaron en secreto el rescate y restauraron el acceso a su red y sistemas. Desafortunadamente para ellos, la verdad se hizo camino hasta los titulares y perdieron la confianza del público. Es una cosa ser víctima de un ataque debido a políticas de seguridad terribles, pero mentir a sus clientes y al público al respecto es una ofensa grave. Hasta este momento, Travelex sigue enfrentando las consecuencias de sus acciones.
3. Grubman Shire Meiselas & Sacks
En mayo de 2020, REvil obtuvo acceso a más de 750 GB de documentos legales privados. Grubman Shire Meiselas y Sacks es un bufete de abogados que representa a varias celebridades, incluyendo al ex presidente de los EE.UU., Donald Trump. REvil inicialmente estableció un rescate de 21 millones de dólares, pero aumentó la cantidad después de ver los datos de Trump. El bufete siguió el consejo del FBI de no pagar, y REvil subastó los datos en la Dark Web.
Conclusión
El incremento de ataques a empresas que producen componentes de hardware para grandes empresas tecnológicas debería ser motivo de preocupación. Es evidente que estas empresas son objetivos debido a sus vínculos con gigantes de la industria tecnológica. Ataques como estos son recordatorios de que las empresas deben tomar la ciberseguridad muy en serio, ya que el coste de establecer una defensa adecuada contra los ataques suele ser menor que el coste de recuperar los activos.