El proveedor de productos electrónicos con sede en Japón, JVCKenwood, se ha convertido en la última víctima conocida de una ola renovada de ataques de ransomware Conti que se están extendiendo por todo el mundo.
Los detalles del ataque obtenidos por el título hermano de Computer Weekly, LeMagIT, revelan que Conti ha exfiltrado alrededor de 1,7 TB de datos de JVCKenwood, incluida información de identificación personal (PII) sobre su personal, parte de la cual se proporcionó a la empresa como prueba del ataque.
La banda Conti exige un rescate de 7 millones de dólares (5,2 millones de libras esterlinas / 6 millones de euros) y afirma haber robado datos sobre clientes y proveedores de JVCKenwood, e información relacionada con sus funciones legales, financieras, de RR.HH., TI, auditoría y cumplimiento. Esto incluye documentos personales, números de teléfono, datos de contacto y extractos bancarios y de nómina.
Sin embargo, al momento de escribir este artículo, las discusiones entre un representante de JVCKenwood y el negociador de Conti parecían haberse detenido, lo que puede ser una sugerencia de que la empresa se negará a pagar un rescate.
Como se ha observado comúnmente en sus otros ataques Conti, la tripulación continúa actuando como si estuviera proporcionando un servicio legítimo de auditoría de seguridad y pruebas de penetración. En capturas de pantalla de las negociaciones vistas por Computer Weekly, decía: “Afortunadamente, Conti está aquí para evitar más daños”.
La tripulación continúa ofreciendo servicios de prevención y mitigación de daños, y advierte a la víctima que si filtra su información, los ciberdelincuentes de la web oscura abusarán de sus datos para sus propios “propósitos malvados”.
La nota de rescate continúa advirtiendo que el ataque tendrá consecuencias legales, reglamentarias y de reputación.
Agrega: “No hay forma de que no cumplamos nuestras promesas después de que pague. Las posibilidades de que el infierno se congele son mayores que las de engañar a nuestros clientes “.
En un comunicado oficial, JVCKenwood dijo que detectó acceso no autorizado a servidores ubicados en Europa el 22 de septiembre de 2021.
“Se encontró que existía la posibilidad de filtración de información por parte del tercero que realizó el acceso no autorizado”, dijo un vocero de la empresa.
“Actualmente, la agencia especializada externa a la empresa está llevando a cabo una investigación detallada en colaboración con las autoridades pertinentes. No se ha confirmado ninguna fuga de datos de clientes en este momento.
“JVCKenwood se toma este incidente muy en serio y lamenta sinceramente los inconvenientes que puede causar”.
Descrito por el equipo de la Unidad 42 de Palo Alto Networks como una de las bandas de ransomware más despiadadas que existen, Conti ha existido durante más de un año y ha ganado sumas sustanciales extorsionando a víctimas como hospitales, para quienes la interrupción de la tecnología de la información podría poner en peligro la vida. En mayo, la pandilla atacó al Ejecutivo de Servicios de Salud de Irlanda en un ataque de $ 19,9 millones que continúa afectando los servicios casi seis meses después.
Contrariamente a los sentimientos de la pandilla al respecto, la Unidad 42 también describe a Conti como poco confiable. “Hemos visto al grupo de víctimas rígidas que pagan rescates, esperando poder recuperar sus datos”, escribió Richard Hickman, consultor senior de respuesta a incidentes de la firma.
Una filtración reciente de información sobre la operación Conti, supuestamente realizada por un afiliado descontento, reveló una mayor comprensión de cómo el grupo realiza el reconocimiento y compromete a sus víctimas, incluida información sobre vulnerabilidades comúnmente no parcheadas que ha tenido un éxito particular en la explotación, como PrintNightmare, ZeroLogon y EternalBlue. Puede obtener más información sobre Conti en la Agencia de Seguridad Cibernética e Infraestructura de EE. UU.