InicioCrímenesEnergética EDP confirma ataque ransomware: hackers tendrían 10 TB

Energética EDP confirma ataque ransomware: hackers tendrían 10 TB

EDP Renewables North America LLC (EDPR NA), la subsidiaria estadounidense de la compañía global energética EDP Renewables (EDPR o Energias de Portugal Renováveis), confirmó el pasado 30 de junio que su empresa matriz recibió un ataque de ransomware en el mes de abril. Asimismo, el portal de ayuda informática Bleeping Computer publicó el 6 de julio la supuesta nota de rescate, confirmando que se trataba del software malicioso Ragnar Locker, y que los piratas informáticos están exigiendo un rescate de 1.580 BTC y afirman tener 10 TB de información.

En una carta firmada por el director ejecutivo de EDPR NA, Miguel Angel Prado, la compañía energética se dirigió a sus clientes, manifestando que el pasado 13 de abril los sistemas de información de la empresa matriz EDP Renewables fueron víctimas de un ciberataque con software malicioso, y no fue sino hasta el 8 de mayo que detectaron que los piratas informáticos habían logrado acceder a su base de datos:

«El 13 de abril de 2020, la corporación matriz de EDPR NA experimentó un ataque de ransomware en sus sistemas de información. La corporación matriz inmediatamente comenzó a investigar con la asistencia de expertos forenses informáticos líderes. La corporación matriz también involucró rápidamente a las autoridades policiales pertinentes. El 8 de mayo de 2020, EDPR NA se enteró, por primera vez, de que los atacantes habían obtenido acceso no autorizado a al menos parte de la información almacenada en los propios sistemas de información de la compañía«. EDPR NA.

¿Qué dijo EDPR NA acerca de los datos de sus clientes?

Desde la empresa EDPR NA indicaron que no se ha perdido información personal de los clientes, alegando que no hay evidencia de que los piratas informáticos hayan accedido a ella, aún cuando afirmaron que estos lograron obtener acceso a «parte» de su base de datos. Por otro lado, esta empresa líder en energías renovables señaló que se encuentran trabajando para identificar a los clientes potencialmente afectados por este ataque de ransomware.

EDPR NA explicó que estaban haciendo este anuncio como medida de precaución, ya que en su base de datos tienen almacenada información personal de sus clientes, como nombres y números de seguro social, requeridos para realizar los pagos de los contratos de arrendamiento. Asimismo, la compañía afirmó que es la única información que almacenan: «No conservamos ninguna otra información personal, como el número de su licencia de conducir o la información de su tarjeta de crédito o débito», sentenció la energética.

Publicidad

Por tal motivo, y debido a que existe el riesgo de que tales datos de clientes puedan ser publicados por los ciberatacantes, ya que estos accedieron a sus sistemas, esta compañía energética ofreció a su clientela un año de membresía para la protección de identidad en Experian, agencia que ofrece servicios contra robo de identidad. Específicamente, EDPR NA le está ofreciendo a sus clientes una membresía en el producto IdentityWorksSM, para «restauración de identidad, herramientas de detección de fraude y otros beneficios», comunicó EDPR NA.

Hackers afirman tener 10 TB de datos de la compañía energética

El portal web Bleeping Computer reportó el pasado 6 de julio que los ciberatacantes de EDPR son los piratas informáticos que operan el ransomware conocido como Ragnar Locker. De hecho, este medio publicó la supuesta nota que estos ciberdelincuentes mostraron a la multinacional portugués de energía para indicarles que sus archivos habían sido encriptados:

Nota de rescate del grupo que opera el ransomware Ragnar Locker a EDP. Fuente: Bleeping Computer.

A pesar de que EDPR NA reportó que no había evidencia de robo de datos personales, en la nota de los operadores de Ragnar Locker, compartida por Bleeping Computer, se observa que los ciberatacantes afirmaron que habían descargado 10 TB de datos de los servidores de la compañía, así como también amenazaron a EDP, señalando que si no pagaban el rescate exigido, publicarían la información sustraída o la venderían a terceros interesados.

En la nota, los ciberatacantes compartieron una prueba de que lo que decían era cierto, mostrando un link que supuestamente lleva a una publicación en donde aparecen extractos de datos confidenciales de la compañía. Los piratas informáticos afirmaron tener en su poder información sensible de la empresa, como contratos, facturaciones, transacciones, así como también información relacionada con clientes y socios.

En cuanto al rescate, se afirma que es de 1.580 BTC, monto equivalente a unos 14 millones de dólares, según el precio actual de Bitcoin, de acuerdo con CoinMarketCap. El pasado 21 de mayo, la compañía inglesa de seguridad británica Sophos alertó acerca de la existencia de este nuevo ransomware.

En ese entonces, Sophos se basó en la información del ataque del grupo de Ragnar Locker a EDP que, como confirmó el directo ejecutivo en la más reciente carta publicada, ocurrió en abril pasado. Sophos reportó que en aquella fecha los hackers estaban exigiendo el pago de 1.580 BTC por el rescate de la información, equivalentes a unos 11 millones de dólares en aquel entonces.

Según Sophos, el ransomware Ragnar Locker se caracteriza por implementar una máquina virtual completa en los equipos de las redes empresariales que infecta, con el objetivo de ocultarse en ella. Otra característica de este ransomware es que puede moverse lateralmente en las redes informáticas de clientes y servidores de Windows y está dirigido a los sistemas de grandes organizaciones. Además, se presume que otra característica sea el monto que exigen estos piratas informáticos.

Otro tipo de ransomware dirigido a grandes organizaciones es Sodinokibi. En junio se conoció que la compañía de seguridad cibernética Symantec detectó una serie de ciberataques que consistían en la distribución de Sodinokibi/ REvil mediante el malware Cobalt Strike.

Todas las víctimas de la campaña descubierta por Symantec eran grandes organizaciones pertenecientes a los sectores de alimentación, salud y servicios. En sus labores de investigación, los expertos en seguridad de esta firma estadounidense encontraron el malware Cobalt Strike en los sistemas informáticos de ocho compañías, dentro de las cuales tres se habían infectado seguidamente con Sodinokibi.

Symantec también reportó que, a diferencia de los ciberatacantes de Ragnar Locker, los piratas detrás de Sodinokibi han preferido exigir los rescates en la criptomoneda de Monero, y que por lo general exigen un monto de 50 mil dólares en XMR, pero si la organización víctima no cancela el rescate dentro del periodo exigido, los ciberatacantes aumentan la cifra al doble de su valor inicial.

Publicidad

Imagen destacada por Vishnu Vijayan/ pixabay.com

- Publicidad -spot_imgspot_imgspot_imgspot_img

Populares

- Publicidad -spot_imgspot_imgspot_imgspot_img