Importante compañía de servicios en la nube sufre infección de ransomware

La semana apenas comienza y ya se reportan nuevos incidentes de seguridad afectando importantes compañías tecnológicas. Según mencionan especialistas en seguridad de aplicaciones web, SmarterASP.NET, proveedor de servicios de hosting ASP.NET, fue víctima de un serio ataque de ransomware que podría afectar a sus más de 400 mil clientes.

Esta es la tercera ocasión en este año que una importante compañía de web hosting es afectada por una infección de malware de cifrado, indicador claro de deficientes medidas de seguridad y evolución de los métodos empleados por los actores de amenazas.

A través de un mensaje publicado
en su sitio web la compañía reconoció el incidente y afirmó que ya había
comenzado a trabajar en el restablecimiento de todos sus sistemas, mencionan
los expertos en seguridad de aplicaciones web. No obstante, aún se desconoce si
los ejecutivos de SmarterASP.NET accedieron a pagar el rescate a los hackers o
si la información será recuperada a partir de los respaldos de la compañía. “Su
cuenta está bajo ataque; los perpetradores han cifrado todos sus datos. Nos
encontramos trabajando con expertos para recuperar su información y asegurar
que esto no vuelva a suceder”, menciona el comunicado.

Hasta ahora la compañía no ha
brindado mayores detalles sobre el incidente y su manejo, incluso se ha inhabilitado
su línea telefónica.

Los atacantes no sólo
comprometieron la información de los clientes de este servicio, sino que
también se tomaron el tiempo de atacar a la compañía, desconectando su página
de internet, dejándola inaccesible durante todo el sábado. Finalmente, el
equipo de seguridad de aplicaciones web de SmarterASP.NET recuperó el control
de su sitio web el domingo por la mañana.

Respecto a la variante de ransomware empleada por los responsables de este ciberataque, un usuario anónimo publicó en Twitter algunas capturas de pantalla de un equipo comprometido, donde puede apreciarse que la información fue cifrada con una versión actualizada del ransomware Snatch, que añade a los archivos infectados la extensión .kjhbx.

Hasta el momento la compañía no
parece haber avanzado mucho en el proceso de recuperación, pues sigue siendo
considerable la cantidad de usuarios que reportan que el acceso a sus cuentas y
datos sigue bloqueado, incluyendo archivos en sus sitios web y bases de datos
back end.

El incidente ha golpeado de forma
muy seria a muchos de los usuarios de este servicio, ya que la mayoría de ellos
emplean SmarterASP.NET como back end de aplicaciones web para sincronizar o
respaldar información importante. Acorde a los expertos en seguridad de
aplicaciones web, ya que el ransomware también afectó a estas bases de datos,
es imposible para los administradores de sitios web trasladar sus operaciones a
una implementación de TI alternativa.

En los meses pasados, expertos
del Instituto Internacional de Seguridad Cibernética (IICS) reportaron el
ataque a otras dos importantes compañías de hosting. El primer incidente
ocurrió en A2 Hosting en mayo, donde los hackers usaron el ransomware
GlobeImposter. La siguiente víctima fue iNSYNQ, que fue infectada en julio
pasado con una variante del ransomware MegaCortex, lo que impidió el
funcionamiento correcto de los sistemas de la compañía durante casi dos meses;
se prevé que el tiempo de recuperación para SmarterASP.NET sea similar.