A través de un comunicado, los equipos de seguridad de Acer revelaron que sus sistemas informáticos se han visto afectados por una infección del ransomware REvil. Los primeros reportes aseguran que los actores de amenazas exigen un pago de 50 millones de dólares a cambio de restablecer los sistemas a la normalidad.
Como prueba de este ataque, los hackers maliciosos compartieron algunas capturas de pantalla de los sistemas comprometidos en su plataforma alojada en dark web. Las imágenes publicadas incluyen hojas de cálculo, saldos bancarios y evidencia de comunicación interna.
En su mensaje, la compañía menciona que están abordando el incidente, además de implementar medidas para prevenir ataques posteriores: “Estamos monitoreando nuestros sistemas de TI en busca de cualquier nuevo indicio de conducta anómala. La mejora de nuestros mecanismos de seguridad es continua y queremos asegurarle a nuestros clientes y empleados que este problema no pondrá en riesgo su información sensible.”
Sobre las características y detalles técnicos del ataque, como la variante de ransomware utilizada por los hackers, la compañía se limitó a mencionar que la investigación sigue en curso y por el momento es imposible aportar más información.
Poco después de que Acer confirmara la infección, la investigadora Valery Marchive reveló que el ataque fue llevado a cabo con la peligrosa variante de ransomware REvil. Además, una posterior filtración de la nota de rescate recibida por Acer confirmó la información presentada por Marchive.
Fuentes cercanas a la compañía mencionan que las negociaciones entre los hackers y Acer habrían comenzado el 14 de marzo, aunque desde un inicio los negociadores se mostraron sorprendidos por la demanda de 50 millones de dólares. Los atacantes también habrían ofrecido un 20% de descuento si el pago se realizaba antes del miércoles pasado, algo que parece no haber ocurrido.
Finalmente, el investigador Vitali Kremez mencionó que la plataforma de ciberseguridad e inteligencia Advanced Intel detectó que un grupo operador de REvil recientemente estuvo desplegando múltiples ataques contra algunos servidores de Microsoft Exchange: “Algunos grupos afiliados a REvil han estado explotando estas fallas par infectar implementaciones de Microsoft.”
Hace un par de días se confirmó que los actores de amenazas que operan el ransomware DearCry emplearon la falla ProxyLogon para infectar los sistemas afectados. Si los operadores de REvil explotaran las vulnerabilidades recientes de Microsoft Exchange para robar datos o cifrar dispositivos, sería la primera vez que una de las operaciones de ransomware utiliza este vector de ataque.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
