En las últimas semanas, un grupo de hackers con base en Rusia ha logrado infiltrarse en más de sesenta organismos y empresas, incluyendo varias agencias gubernamentales de Estados Unidos, la BBC, British Airways y la compañía Shell.
Estos ciberdelincuentes encontraron y aprovecharon una vulnerabilidad en un software ampliamente utilizado, y según un experto, esto solo representa la punta del iceberg.
La Agencia oficial de Seguridad de Infraestructura y Ciberseguridad (CISA) reconoció que no tiene pruebas de que estos hackers actúen en coordinación con el Kremlin, y además han declarado que sus motivaciones no son políticas.
Los atacantes se aprovecharon de una vulnerabilidad en un software llamado MOVEit, el cual es ampliamente utilizado por diversas organizaciones para encriptar archivos y transferir datos de manera segura.
Satnam Narang, ingeniero sénior de investigación en la firma de ciberseguridad Tenable, explicó que se está produciendo un efecto de propagación exponencial: ‘Con el paso del tiempo, este efecto crecerá de manera significativa. Descubriremos cada vez más víctimas, ya que algunas de ellas reconocerán el ataque públicamente, pero no todas lo harán’.
En las últimas 24 horas, el número de víctimas anunciadas por los hackers ha aumentado de 26 a 63, según Brett Callow, analista de amenazas de Emsisoft.
El grupo responsable de este ciberataque se hace llamar CL0p y tiene su base de operaciones en Rusia, según informó un alto cargo del Gobierno estadounidense. De acuerdo con Narang, CL0p surgió alrededor de 2019 y es una variante de otro programa maligno o ransomware conocido como CryptoMix.
El grupo había establecido un plazo hasta el miércoles para que las víctimas se pusieran en contacto con ellos para negociar el pago de un rescate.
En un comunicado publicado en una página de la dark web, donde solo se puede acceder mediante un navegador especializado, CL0p enfatizó que su motivación es puramente financiera y que no les importa la política. Además, advirtieron a los organismos gubernamentales hackeados que no necesitaban contactarlos, ya que habían borrado todos sus datos y no tenían interés en exponer esa información.
Según Narang, la razón detrás de este mensaje es que atacar abiertamente a estos organismos sería arriesgado, ya que atraería la atención de agencias gubernamentales de todo el mundo. Esto impulsaría a países como Estados Unidos, Reino Unido, Australia y Nueva Zelanda a intensificar sus esfuerzos para perseguir a estos grupos de ransomware.
En cuanto al rescate exigido por el grupo a las víctimas, Narang destaca que, a diferencia de otros hackers, CL0p no suele hacer pública esa información. Invitan a las víctimas a contactarlos a través de correo electrónico o un enlace dedicado exclusivamente a ellas, y luego negocian la cantidad de dinero en un chat. El monto puede variar desde 50,000 dólares hasta varios millones, dependiendo del tamaño del negocio afectado.
Narang sugiere a las empresas que utilizan este tipo de tecnología que detengan su uso temporalmente y revisen minuciosamente su software. Recomienda realizar una auditoría de seguridad para identificar posibles vulnerabilidades. Dado que CL0p ha logrado aprovechar con éxito las vulnerabilidades en tres tipos de transferencia de archivos, es muy probable que apunten a otra vulnerabilidad en los próximos seis meses.
