Los ciber gangsters publican contraseñas del personal luego del ataque «Sodinokibi» al grupo de autopartes Gedia

Los ciber gangsters publican contraseñas del personal luego del ataque «Sodinokibi» al grupo de autopartes Gedia

Los ciberdelincuentes han amenazado con asaltar las cuentas bancarias de clientes y empleados del grupo automotriz alemán Gedia, luego de un importante ataque cibernético en la sede de la compañía la semana pasada.

Gedia Automotive Group, con sede en Attendorn, se ha visto obligado a cerrar sus sistemas de TI y enviar a casa a más de 300 empleados desde su oficina central tras el ataque cibernético del 21 de enero.

El grupo de delitos cibernéticos, Sodinokibi, que utiliza ransomware para extorsionar a las empresas para que paguen un rescate para recuperar sus datos, se atribuyó la responsabilidad del ataque.

Los delincuentes han aumentado la presión sobre la empresa al publicar en Internet un caché de datos confidenciales confiscados a un empleado de Gedia.

Los datos incluyen contraseñas del personal de Gedia, incluido el del director ejecutivo Markus Schaumburg, planes del centro de datos de la compañía, diagramas de red de computadoras y detalles de los sistemas de respaldo de archivos de la compañía.

Gedia ha presentado una denuncia penal ante la policía en Hagen, según informes de la prensa local. La policía dijo LokalPlus intentaban evaluar la situación.

Gedia publicó una declaración en su sitio web el 23 de enero, diciendo que el ataque tuvo «consecuencias de largo alcance» para todo el grupo, que tiene operaciones en España, Polonia, Hungría y Estados Unidos. Tiene desde borró la declaración.

Sodinokibi afirmó en una publicación en dos foros clandestinos de piratería de habla rusa en la web oscura que tenía 50 GB de datos confidenciales, incluidos planos y detalles de empleados y clientes, y los publicaría a menos que la compañía pagara.

Deberías leer:   ¿Cuándo es Apple's Back to School Sale 2022?

El grupo lanzó un caché de documentos pirateados que, según afirmaba, respondían a los comentarios del CEO Markus Schaumburg.

El grupo, que publicó bajo el nombre de «UNKN» o «Desconocido», amenazó con comenzar a explotar los datos financieros que afirma haber confiscado a la compañía.

«Respondiendo al comentario del Sr. Schaumurg, adjuntamos un archivo de su empleado Philip. Este archivo contiene la información completa sobre la infraestructura interna, los planes de respaldo, la red y el software RoyalTS ”, dijo el grupo.

“Como beneficio adicional, adjuntamos el volcado no cifrado del controlador de dominio. Otro comentario como este: comenzaremos a utilizar los datos financieros de la empresa, sus clientes y empleados. Por supuesto, les notificaremos por qué el dinero ha desaparecido de sus cuentas. Tienes 7 dias. Seremos más difíciles la próxima vez «.

La amenaza marca un cambio inquietante en las tácticas de los grupos criminales detrás del ransomware Sodinikobi, dijo Irina Nestrovosky, jefa de investigación de la compañía de seguridad israelí y especialista en inteligencia de amenazas de red oscura. Kela, que monitorea los grupos de piratería.

Hasta principios de este año, el grupo Sodinokibi ha exigido rescates para descifrar los sistemas informáticos de la compañía, pero publicar datos robados es una nueva tendencia, dijo.

«Desconocido» ha hecho amenazas similares después de los ataques de ransomware contra Travelex y la empresa estadounidense de servicios de TI Artech Information Systems este mes.

Ich bin cool

El caché de datos de Gedia publicado por el grupo en Internet incluye detalles de los nombres de usuario y contraseñas de los empleados, muchos de los cuales parecen ser fácilmente adivinables, ¡incluyendo Hallo1234512, qwertzui2! – compuesto de letras adyacentes en el teclado qwertz alemán – e Ichbincool4.

Deberías leer:   No esperes que el merecido de Alex Jones detenga las mentiras

Otros archivos dan detalles de los sistemas de respaldo, arreglos de almacenamiento, enrutadores Cisco y planes físicos de edificios de Gedia que marcan la ubicación de los servidores.

Los atacantes lanzaron un archivo que contiene escaneos del Directorio Activo de Microsoft de Gedia, que contiene detalles de nombres de usuario y contraseñas confidenciales, como prueba de que se han infiltrado en las redes de la compañía.

Revela que los hackers usaron una herramienta de seguridad, conocida como ADRecon, suministrado por la empresa de seguridad australiana Sensación de seguridad, que también se utilizó en ataques Sodinokibi anteriores, para extraer datos de Gedia.

Sistemas críticos funcionando

La compañía no devolvió las llamadas de Computer Weekly, pero dijo en una declaración ahora eliminada en su sitio web que había puesto en marcha planes de emergencia para garantizar la producción, el suministro y la entrega continua de los pedidos de los clientes.

“Los sistemas críticos se están ejecutando. Los expertos externos en seguridad respaldan el análisis y la reparación del daño ”, dijo el comunicado.

Los grupos criminales detrás de Sodinokibi acceden a los sistemas informáticos de la compañía a través de una variedad de técnicas, que incluyen ataques de phishing, vulnerabilidades en los servicios VPN y el Protocolo de escritorio remoto de Microsoft, diseñado para permitir a los técnicos el acceso remoto a las computadoras.

Servidor inseguro

La investigación realizada por la compañía de seguridad estadounidense Bad Packets muestra que Gedia tenía un servidor Pulse Secure VPN que carecía de actualizaciones de seguridad clave hasta al menos el 10 de enero de 2020. El servidor ahora está fuera de línea, dijo su jefe de investigación, Troy Mursch, a Computer Weekly.

Deberías leer:   Beacon Power Services recauda $ 2.7 millones para mejorar el acceso a la electricidad para las ciudades del África subsahariana – Tecno

El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y la Agencia de Seguridad Nacional (NSA) de EE. UU. emitió una alerta advirtiendo que los ciberdelincuentes intentaban infiltrarse en organizaciones de todo el mundo a través de vulnerabilidades en Pulse Secure y otras VPN en octubre del año pasado.

Los Estados Unidos Agencia de Seguridad Cibernética e Infraestructura (CISA) emitió una nueva advertencia sobre vulnerabilidades en Pulse Secure VPN el 10 de enero de este año, a raíz de un aumento en los ataques de ransomware a principios de 2020.

«Aunque Pulse Secure reveló la vulnerabilidad y proporcionó parches de software para los diversos productos afectados en abril de 2019, la Agencia de Seguridad de Ciberseguridad e Infraestructura continúa observando una amplia explotación», dijo.

Otros investigadores de seguridad cibernética han sugerido que los piratas informáticos pueden haber explotado una vulnerabilidad en los servidores Citrix de la compañía, después de notar un aumento en los piratas informáticos que venden inicios de sesión de Citrix en foros de piratería rusos en el momento del ataque a Gedia.

Investigador de seguridad «Under the Breach» dicho en Twitter que había una «alta probabilidad» de que los atacantes usaran un exploit de Citrix.


Investigación adicional por Matt Fowler

Acerca de

Pilar Benegas es una reconocida periodista con amplia experiencia en importantes medios de USA, como LaOpinion, Miami News, The Washington Post, entre otros. Es editora en jefe de Es de Latino desde 2019.