La banda con vínculos rusos detrás del ciberataque que paraliza a concesionarias de autos de todo EE.UU.
Un ataque informático al fabricante de software CDK Global interrumpió las operaciones en concesionarios de automóviles de todo Estados Unidos. Se trata del último de una serie de hackeos en los que los cibercriminales exigen el pago de rescates a estas grandes empresas.
CDK fabrica un software que los concesionarios de automóviles suelen utilizar para procesar ventas y otras transacciones. A raíz del ataque, muchos concesionarios han comenzado a procesar las transacciones manualmente, según informes de la prensa local.
No se sabe mucho sobre el grupo, pero surgió en mayo de 2023. Los analistas dicen que es un equipo cibercriminal relativamente nuevo derivado de un grupo de piratería más antiguo y conocido, vinculado a Rusia y llamado RoyalLocker, según informa la agencia Reuters.
RoyalLocker pirateaba principalmente empresas estadounidenses y era un famoso grupo de piratas informáticos surgido de otra prolífica banda llamada Conti. Royal fue probablemente el tercer grupo de ransomware más persistente después de LockBit y ALPHV, según los analistas.
Sin embargo, BlackSuit no es tan agresivo como los demás. La cantidad de víctimas que enumera en su sitio de filtración de datos sugiere que no tiene tantos socios de piratería como las bandas de ransomware más grandes, dijo Kimberly Goody, directora de análisis de delitos cibernéticos en Mandiant Intelligence.
“La mayoría de las víctimas de BlackSuit residen en Estados Unidos, seguidas por el Reino Unido y Canadá, y abarcan una amplia gama de sectores”, afirmó. Según la firma de seguridad Recorded Future, ha violado al menos 95 organizaciones a nivel mundial. “El número real de víctimas de BlackSuit es probablemente mucho mayor”, dijo la firma por correo electrónico.
Se trata en su mayoría de organizaciones estadounidenses en áreas como bienes industriales y educación, según un blog del mes pasado de la firma de seguridad ReliaQuest. “Hemos visto actores de amenazas que hablan ruso, afiliados a BlackSuit, que solicitan asociaciones en foros clandestinos para brindar acceso a empresas, tan recientemente como la semana pasada”, dijo Goody.
Se sabe que BlackSuit lleva a cabo una “doble extorsión”, que en términos cibernéticos significa que roba datos confidenciales de la organización víctima, bloquea sus sistemas y también amenaza con filtrar información.
Goody, de Mandiant, afirmó que BlackSuit había proporcionado infraestructura de piratería a otros grupos más pequeños de cibercriminales, conocidos como “afiliados”. En este sentido, brindó apoyo relacionado con la extorsión a sus socios, incluidos recursos para acosar a las víctimas o cerrar sus sitios web para presionarlas a pagar.
BlackSuit ransomware es un tipo de malware que afecta tanto a sistemas operativos Windows como Linux. Aunque se desconoce su vector de distribución, se sabe que es capaz de cifrar los archivos de un sistema comprometido y exigir un rescate para su recuperación. Además, BlackSuit cuenta con una amplia variedad de capacidades, que incluyen la de propagarse lateralmente a través de la red de una organización comprometida y la capacidad de filtrar datos confidenciales.
El ransomware es un tipo de malware que mantiene como rehenes los datos o el dispositivo de la víctima, bajo la amenaza de mantenerlos bloqueados, o algo peor, a menos que la víctima pague un rescate al atacante.
Según el IBM Security X-Force Threat Intelligence Index 2023, los ataques de ransomware representaron el 17 % de todos los ciberataques en 2022.
Los primeros ataques de ransomware simplemente exigían un rescate a cambio de la clave de cifrado necesaria para recuperar el acceso a los datos afectados o el uso del dispositivo infectado. Mediante la realización de copias de seguridad de los datos de forma regular o continua, una organización podría limitar los costes derivados de este tipo de ataques de cibersecuestro y, a menudo, evitar el pago de la petición de rescate.
Pero en los últimos años, los ataques de ransomware han evolucionado para incluir doble y triple extorsión que elevan considerablemente la apuesta, incluso para las víctimas que realizan rigurosamente copias de seguridad o pagan el rescate inicial. Los ataques de doble extorsión añaden la amenaza de robar los datos de la víctima y divulgarlos en Internet. Además, los ataques de triple extorsión amenazan con utilizar los datos robados para atacar a los clientes o socios comerciales de la víctima.
El índice X-Force Threat Intelligence de 2023 reveló que la participación del ransomware en todos los incidentes de ciberseguridad disminuyó un 4 por ciento entre 2021 y 2022. Es probable que este descenso se deba a que los defensores están teniendo más éxito a la hora de detectar y prevenir los ataques de ransomware. Pero este resultado positivo se vio eclipsado por una enorme reducción del 94% en el plazo medio de los ataques: de 2 meses a menos de 4 días. Esto da a las organizaciones muy poco tiempo para detectar y frustrar posibles ataques.
Las víctimas de ransomware y los negociadores son reacios a revelar los importes de pago de rescate. Sin embargo, según la Guía definitiva del ransomware, las demandas de rescate han crecido hasta alcanzar las cantidades de siete y ocho cifras. Y los pagos de rescate son solo una parte del costo total de una infección de este malware. Según el informe “Coste de una filtración de datos” 2023 de IBM, el costo promedio de una vulneración de datos causada por un ataque de ransomware fue de 5,13 millones de dólares.
LA NACION