Ciberataque de Arnold Clark reclamado por la banda de ransomware Play

Arnold Clark, con sede en Glasgow, una de las redes de concesionarios de automóviles más grandes del Reino Unido, que hizo multimillonario a su fundador, se enfrenta a una demanda de rescate multimillonaria del cartel de ransomware de doble extorsión Play luego de un ataque cibernético en sus sistemas.

El ataque a la organización tuvo lugar en el período previo a la Navidad y vio al personal recurrir a lápiz y papel para registrar las transacciones de los clientes después de haber sido bloqueado de sus sistemas. Como resultado, tampoco pudo completar las entregas de vehículos nuevos.

A raíz del ataque, Arnold Clark desconectó sus sistemas voluntariamente después de que un consultor de seguridad externo le advirtiera sobre tráfico sospechoso en su red. Luego llevó a cabo una revisión exhaustiva de su estado de TI en colaboración con sus socios cibernéticos. Dijo que su prioridad había sido proteger los datos de los clientes, sus propios sistemas y sus socios externos, y que esto se había logrado.

Sin embargo, según el correo el domingo, que fue el primero en informar sobre los últimos desarrollos, una persona que afirma estar asociada con Play publicó en la dark web un tramo de 15 GB de datos de clientes robados en el incidente. Se entiende que los datos incluyen direcciones, datos de pasaporte y números de seguro nacional. Como era de esperar, amenazan con liberar una cantidad mucho mayor de datos si no se les paga.

En un comunicado entregado a Gestión Automotriz revista, Arnold Clark dijo que sus investigaciones estaban en curso, y ahora estaba tratando de establecer qué datos se habían comprometido como una prioridad, momento en el cual se comunicará con los clientes afectados. También ha estado trabajando con las fuerzas del orden y el incidente ha sido notificado a la Oficina del Comisionado de Información (ICO) de acuerdo con sus obligaciones legales. La organización no respondió a una solicitud de comentarios de Computer Weekly.

Más contenido para leer:  Cómo la simulación multifísica podría acelerar el advenimiento de la computación cuántica y viceversa

Después de saltar a la fama a mediados de 2022 con una serie de ataques cibernéticos a organizaciones en América Latina, el cartel de ransomware Play se ha convertido en uno de los grupos más activos y peligrosos que operan actualmente.

Lo más famoso es que estuvo detrás del ataque del 2 de diciembre de 2022 a Rackspace, que dejó a los clientes excluidos después de que el proveedor de servicios de TI se viera obligado a cerrar su negocio de Hosted Exchange.

Rackspace reveló más tarde que la pandilla accedió a las Tablas de almacenamiento personal (PST) de 27 de sus clientes, de un total de 30,000, pero dijo que no había evidencia de que los datos fueran vistos, obtenidos, mal utilizados o difundidos de alguna manera.

Se confirmó que la pandilla había llegado a Rackspace al encadenar un par de vulnerabilidades rastreadas como ProxyNotShell/OWASSRF en una falsificación de solicitud del lado del servidor que le permitió lograr la ejecución remota de código (RCE) a través de Outlook Web Access (OWA).

Antes de su aceptación entusiasta de OWASSRF, el grupo favorecía las cuentas de red privada virtual (VPN) comprometidas, así como las cuentas de dominio y locales, y los servidores de protocolo de escritorio remoto (RDP) expuestos, para obtener acceso inicial. También explotó vulnerabilidades reveladas en el sistema operativo FortiOS de Fortinet.

Play toma su nombre de la extensión .play que agrega a los archivos cifrados, y se ha observado que exhibe un comportamiento muy similar al de las operaciones de Hive y Nokoyawa, según la inteligencia recopilada por los investigadores de Trend Micro, quienes sugirieron que pueden estar a cargo de las mismas personas. . También existe la posibilidad de un enlace al ransomware Quantum, que se cree que es un grupo disidente de Conti.

Más contenido para leer:  DELTA recurre a Nokia para desarrollar una red de transporte óptico de 400G

No se ha confirmado si Arnold Clark fue víctima de la misma cadena de ataques.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales