La pandilla de ransomware BlackCat/ALPHV ha publicado muestras de un caché de datos que afirma haber extraído de la empresa de servicios de aviación Swissport en un ataque cibernético a principios de febrero a la web oscura mientras busca un comprador.
El incidente inicial tuvo poco impacto más allá de causar retrasos en una pequeña cantidad de vuelos, y Swissport dijo que contuvo el incidente en aproximadamente 48 horas, y que las soluciones manuales y los sistemas de respaldo habían asegurado sus operaciones.
Esto le indicaría a un observador que Swissport tenía un sólido plan de ransomware, incluidas las mitigaciones apropiadas y las medidas de protección, como copias de seguridad totalmente aisladas para restaurar. Esto probablemente significa que optó por no negociar con sus atacantes.
Sin embargo, en un ejemplo clásico de un ataque de doble extorsión en el que los datos no solo se cifran sino que también se roban y luego se filtran para maximizar la vergüenza de la víctima y los beneficios potenciales del atacante, BlackCat ahora está tratando de descargar 1,6 TB de datos robados.
Capturas de pantalla distribuidas en línea mostrar que los datos incluyen documentos comerciales internos y datos personales, incluidos pasaportes escaneados y tarjetas de identificación, de personas, así como información de identificación personal sobre candidatos para el trabajo, incluidos nombres, números de pasaporte, nacionalidades, direcciones de correo electrónico y números de teléfono. También incluye algunas categorías de datos, como la religión, consideradas como características protegidas por el Reglamento General de Protección de Datos (GDPR).
Un portavoz de Swissport dijo: “La seguridad de los datos dentro de nuestros sistemas es una prioridad principal para Swissport. Swissport ha estado respondiendo a un incidente de seguridad cibernética que afectó algunos de nuestros sistemas. Mientras realizábamos nuestra investigación, nos enteramos de que una parte no autorizada publicó datos en línea que afirman haber robado de Swissport. Tomamos estas acusaciones con seriedad y estamos analizando los archivos que se publicaron en línea como parte de nuestra investigación en curso sobre el incidente.
“Cuando nos enteramos del incidente, desconectamos rápidamente los sistemas afectados, iniciamos una investigación, notificamos a las fuerzas del orden público y contratamos a los principales expertos en seguridad cibernética para ayudar a evaluar el alcance del incidente. En este momento, no podemos proporcionar más información.
“Estamos en contacto con clientes, socios y empleados. Lamentamos sinceramente cualquier preocupación o inconveniente que este incidente esté causando a nuestros clientes, socios y empleados en todo el mundo”.
Al comentar sobre la filtración, Saryu Nayyar de Gurucul dijo: “Si bien Swissport afirma que el ciberataque fue ‘contenido en gran medida’, 1,6 TB de datos extraídos no es una broma. De hecho, tienen suerte de que solo se haya robado información personal en lugar de una interrupción en el servicio.
“Sin embargo, esto muestra lo fácil que es para los actores de amenazas comprometer las redes y pasar desapercibidos durante largos períodos de tiempo. Las soluciones XDR y SIEM actuales son incapaces de prevenir daños o interrupciones, a pesar de las afirmaciones que lo llevarían a creer que son una bala de plata para detectar y prevenir infracciones exitosas”.
Nayyar agregó: “Las organizaciones deben buscar soluciones SIEM de próxima generación que empleen verdaderos modelos de aprendizaje automático de autoaprendizaje con una biblioteca extensa y una variedad de análisis avanzados si tienen alguna esperanza de prevenir ataques nuevos y emergentes de grupos como BlackCat. La detección automatizada, así como la respuesta no disruptiva de alta fidelidad, al principio de la cadena de eliminación es fundamental para contener realmente el ataque antes de que se produzca el daño, no mucho después de que un ataque ya haya progresado en su objetivo principal”.
Como se informó anteriormente, la pandilla BlackCat surgió a fines de 2021 y se destacó de inmediato por una primicia mundial: su ransomware está codificado en Rust, lo que le brinda una clara ventaja al poder personalizar sus ataques.
Después de una serie de ataques atribuidos a BlackCat, la pandilla, que prefiere usar su propio apodo, ALPHV, le reveló a un analista de Recorded Future que había evolucionado a partir de la operación DarkSide/BlackMatter (el equipo detrás del hito Colonial Pipeline de 2021) , supuestamente en parte porque el ransomware BlackMatter fue descifrado por Emsisoft, que puso a disposición de las víctimas un descifrador.