Contratista de misiles nucleares atacado con ransomware Maze

CorporateRansomware

Estados Unidos está protegido por lo que se conoce como una tríada nuclear: una fuerza de ataque de tres puntas que consiste en misiles nucleares lanzados por tierra, misiles nucleares en submarinos y aviones equipados con bombas nucleares y misiles.

Una de las patas de la tríada, el misil balístico intercontinental LGM-30 Minuteman con base en tierra (ICBM), ha sido atacada por ciberdelincuentes que han introducido el ransomware Maze en la red informática de un contratista de Northrup Grumman.

Sky News informó el miércoles que el contratista, Westech International, confirmó que había sido atacado y que sus ordenadores cifrados. Todavía no está claro si los extorsionistas lograron robar información militar clasificada. Las investigaciones para identificar exactamente a que accedieron todavía están en curso.

Sin embargo, los atacantes ya han filtrado archivos que sugieren que tenían acceso a datos confidenciales, incluidos nóminas y correos electrónicos, que copiaron antes de cifrarlos, informa Sky News. Amenazan con publicar todos los archivos.

El acceso no autorizado a datos sobre misiles nucleares balísticos intercontinentales sería suficientemente malo, pero dependiendo de a qué hayan accedido los atacantes, el ataque podría tener repercusiones aún más graves, dada la lista de clientes de Westech.

Esa lista incluye ramas militares en EEUU, las agencias de infraestructura del gobierno y los principales contratistas militares, incluidos el Ejército, la Fuerza Aérea, la Armada, las Agencias de Servicio Conjunto, el Departamento de Comercio, el Departamento de Energía, la Administración de Servicios Generales, Booz Allen Hamilton, General Dynamics Information Technology, Lockheed Martin Information Technology, y más.

Misiles Minuteman III

Los misiles Minuteman III se almacenan en cientos de instalaciones de lanzamiento subterráneas protegidas, operadas por el Comando de Ataque Global de la Fuerza Aérea. Según los informes, Westech proporciona a Northrup Grumman soporte de ingeniería y mantenimiento para los misiles.

Cada ICBM contiene múltiples ojivas termonucleares que tienen un alcance de casi 10.000 km: aproximadamente un cuarto de la circunferencia del planeta o, como señala Sky News, la distancia entre Londres y Buenos Aires. Pueden alcanzar velocidades de hasta Mach 23: eso es 28.176 kilómetros por hora.

La duración del ataque, las demandas de extorsión y la publicación de los datos confidenciales de Westech no se han revelado. La firma le dijo a Sky News que inmediatamente inició una investigación y contuvo sus sistemas después de enterarse del problema. También está trabajando con una empresa de informática forense independiente para “analizar sus sistemas en busca de cualquier compromiso y determinar si hay alguna información personal en riesgo”.

Northrup Grumman y el Departamento de Defensa (DoD) declinaron hacer comentarios.

Sobre Maze

Maze ransomware es un nuevo tipo de ransomware que también se ha utilizado recientemente contra Cognizant, una gran empresa de servicios de TI de EEUU que reveló que había sido víctima en abril.

Westech International es el último de una serie de ataques de Maze. Como SophosLabs describió el mes pasado en un informe, titulado “Maze ransomware: extorting victims for 1 year and counting”, Maze recientemente ha aparecido en las noticias con bastante frecuencia, especialmente porque los ciberdelincuentes que lo crearon han estado a la vanguardia de una nueva ola de ataques de ransomware de “doble golpe”.

Así es como funciona, según Paul Ducklin de Naked Security: los delincuentes extorsionan no con una sino dos razones para pagar el dinero del rescate:

  • Paga para obtener la clave de descifrado para recuperar tus valiosos archivos, que codificamos con el malware.
  • Paga para evitar que publiquemos sus valiosos archivos, de los cuales tomamos copias antes de cifrarlos.

La saga de Westech está en consonancia con la forma en que trabajan los operadores de Maze: siguen las amenazas de exposición pública de datos robados al publicarlos en vertederos de datos públicos, lo que también se conoce como sitios “name and shame”. Si no se realiza ningún pago, lo ofrecerán en los foros de delitos informáticos. Del informe de SophosLabs:

Los ciberdelincuentes de Maze han hecho que la exposición pública sea central para la identidad de su “marca”, y busca activamente la atención de la prensa y de los investigadores para promocionar su marca y facilitar a las víctimas que duden en pagarles el conocer su reputación.

“¿Identidad de la marca?” Por supuesto. El ransomware ha existido durante más de un año, aunque originalmente se conocía simplemente como ChaCha, dado el algoritmo de cifrado que utilizaba. En mayo de 2019, sus operadores adoptaron su nombre actual, Maze, y han creado su propia marca:

Hablamos con Westech International el miércoles para ver cómo le está yendo con su recuperación, si hay alguna actualización en su investigación y qué piensan sobre el pago del rescate, una suma que no ha sido revelada. Actualizaremos este artículo si recibimos una respuesta.

¿Pagar o rezar?

La respuesta, en pocas palabras, es: Por favor, no pagues. Hay muy buenas razones para no hacerlo.

Según el estudio a nivel mundial encargado por Sophos ‘El estado del ransomware en 2020’, realizado a principios de este año, pagar los rescates cuesta más que restablecer los datos mediante copias de seguridad.

Bien podrías preguntarte cómo podría ser eso, dado que el tiempo de inactividad a menudo se cita como la parte más costosa de un ataque de ransomware. La razón es simplemente que el costo de recuperación siempre es alto, llegando a un promedio de 732.000 $. Pagar el rescate además de eso simplemente duplica la factura.

Como señaló John E. Dunn de Naked Security, esto explica por qué los extorsionistas casi siempre envían las claves de cifrado cuando se les paga: si no lo hicieran, entonces la duda de las víctimas “destruiría rápidamente todo el escándalo de extorsión a medida que las empresas se esforzaban por hacer ellos mismos el trabajo duro”.

Eso podría explicar por qué los atacantes de ransomware amenazan cada vez más con filtrar datos confidenciales robados durante el ataque, como se hizo en el incidente de Westech: la amenaza es un incentivo adicional para pagar.

¿Qué hacer?

Las organizaciones no deberían desesperarse. Hay formas de limitar el efecto de los ataques de ransomware. El primer paso: suponer que un ataque es inevitable y prepárese para ello.

Nuestro consejo:

  • Haz y comprueba un plan de backup, incluyendo el almacenamiento de datos offsite donde los atacantes no puedan localizarlos.
  • Si vas a comprar un ciberseguro, confirma que cubra el ransomware.
  • No te olvides de proteger los datos en la nube, así como los datos centrales.
  • Utiliza una protección anti-ransomware dedicada. El 24% de los encuestados que se vieron afectados por el rescate pudieron detener el ataque antes de que los datos pudieran ser cifrados.
  • Bloquea el Protocolo de Escritorio Remoto (RDP). Los cibercriminales explotan las credenciales RDP débiles para lanzar ataques dirigidos de ransomware. Desactiva el RDP si no lo necesitas, y utiliza la limitación de intentos, la autenticación de dos factores (2FA) o una red privada virtual (VPN) si la necesitas.
  • Elige contraseñas seguras y utiliza la autenticación de múltiples factores tan a menudo como sea posible. Y no reutilices las contraseñas, nunca.
  • Parchea pronto, parchea a menudo. Ransomware como WannaCry y NotPetya se basaban en vulnerabilidades no parcheadas para propagarse por todo el mundo.

También vale la pena leer los consejos que ya publicamos sobre los errores comunes que facilitan el éxito de los ataques ransomware. Para obtener consejos más detallados, consulta nuestra página sobre recursos para detener el ransomware.

Sophos realizará el próximo día 12 de junio un webinar sobre cómo afecta el ransomware en las organizaciones y cómo atajar esta creciente amenaza gracias a las soluciones NextGen Endpoint de Sophos. Puedes registrarte en este enlace. Para más información sobre el ransomware Maze consulte el informe completo en SophosLabs Uncut.

Leave a Reply

Your email address will not be published.