La banda cibernética REvil golpeó a un contratista de defensa cuyos clientes incluyen al ejército de EE. UU. En una prueba descarada de la dura charla del presidente Biden que busca disuadir a los ciberataques que bombardean Estados Unidos.
REvil, vinculado a Rusia, afirmó que robó 23 gigabytes de datos pertenecientes a HX5, un contratista de defensa con sede en Florida que trabaja en tecnología aeroespacial y de lanzamiento de armas que enumera a sus clientes como el Ejército, la Armada, la Fuerza Aérea, la NASA y la Administración de Servicios Generales. Primero publicó capturas de pantalla de parte del material presuntamente robado en un sitio web, «The Happy Blog», el miércoles.
Dirigirse a una empresa con clientes militares de EE. UU. Indica que los ciberdelincuentes no han cambiado su comportamiento debido a las amenazas de acción del gobierno de EE. UU. Y el Sr. Biden, según los profesionales de la ciberseguridad.
Brett Callow, analista de amenazas de la compañía de software Emsisoft, dijo que los grupos de ransomware se han dirigido anteriormente a contratistas de defensa, pero REvil estaba enviando una advertencia a medida que se desarrollaba su ataque.
«Esto es un poco como un secuestrador enviando el dedo meñique en lugar de la cabeza», dijo Callow.
Los profesionales de la ciberseguridad han vinculado a REvil con Rusia, aunque opera con un modelo de negocio con afiliados que implementan ataques de todo el mundo.
Biden ha estado bajo presión para responder a la avalancha de ataques de ransomware en los Estados Unidos después de que trazó una «línea roja» sobre los ataques cibernéticos en una cumbre del 16 de junio con el presidente ruso Vladimir Putin.
La secretaria de prensa de la Casa Blanca, Jen Psaki, dijo el jueves que la administración Biden continuaría enviando un «mensaje claro» a Rusia sobre ciberdelincuentes trabajando dentro de sus fronteras. Pero se negó a decir qué haría el gobierno de Estados Unidos para hacer cumplir sus ultimátums.
«Si el gobierno ruso no puede o no quiere actuar contra los actores criminales que residen en Rusia, actuaremos», dijo la Sra. Psaki. «En términos de lo que haremos, no estoy en condiciones, por supuesto, de discutir las operaciones».
Una ola de ataques de ransomware ha afectado a empresas y organizaciones de EE. UU. En los últimos meses, incluidas escuelas, instalaciones médicas y empresas como el principal proveedor de combustible de EE. UU. Colonial Pipeline.
REvil es el mismo grupo que anteriormente interrumpió al principal productor de carne JBS y que afectó a la compañía de software Kaseya el fin de semana pasado en un ataque de ransomware que, según la compañía, afectó a menos de 1.500 empresas aguas abajo de sus clientes.
La pandilla ha dado a conocer sus intenciones mediante la publicación de información supuestamente robada en HX5, que se negó a comentar sobre el ciberataque.
El dinero motiva a los atacantes de ransomware que retienen los datos y los sistemas como rehenes hasta que las víctimas pagan para recuperar el acceso. REvil ha demostrado ser un ciberatacante innovador que está interesado tanto en pulir su reputación como en embolsarse el botín, dijo Reuven Aronashvili, quien anteriormente sirvió en las Fuerzas de Defensa de Israel y fundó la empresa de ciberseguridad CYE.
Dijo que el hecho de que REvil se dirija a un contratista de defensa demuestra su capacidad y ayuda a cimentar su estado como uno de los principales atacantes de ransomware.
“Se las arreglaron para ganar credibilidad en sus capacidades y ya nadie las toma en serio”, dijo Aronashvili. “Creo que es parte del proceso. Ahora, ya sea que esté conectado a un gobierno detrás de él que oculta los datos, compra los datos, etc., eso es algo que, por supuesto, puede ser otro modelo comercial «.
Los detalles sobre lo que REvil supuestamente tomó de HX5 y si el ataque afecta a sus clientes del gobierno de EE. UU. No están claros. Las capturas de pantalla publicadas por REvil muestran supuesta información personal de los empleados de HX5, incluido un número de seguro social y los datos personales incluidos en una póliza de seguro de vida para un ejecutivo de HX5.
El Ejército y la Marina se negaron a comentar sobre el ciberataque que golpeó al HX5 y cada uno remitió preguntas al Comando Cibernético de EE. UU., Que no respondió a las solicitudes de comentarios. La Fuerza Aérea no respondió a las solicitudes de comentarios. La Administración de Servicios Generales dijo que no fue víctima del ataque REvil en Kaseya, pero no respondió preguntas sobre REvil golpeando HX5.
La NASA dijo que no tenía información sobre HX5 o el incidente cibernético, pero que se coordina continuamente con la Agencia de Seguridad de Infraestructura y Ciberseguridad sobre las amenazas cibernéticas emergentes.
En una entrevista de marzo con la publicación de ciberseguridad The Record, un representante de REvil afirmó tener acceso a un sistema de lanzamiento de misiles balísticos, un crucero de la Armada de los Estados Unidos, una planta de energía nuclear y una fábrica de armas. El representante de REvil no identificado afirmó tener la capacidad de iniciar una guerra, pero no tenía la intención de hacerlo porque no sería rentable.
El Sr. Aronashvili advirtió contra creer todas las afirmaciones de REvil o descartarlas por completo.
“Una cosa que podemos decir de ellos es que logran tener mucha credibilidad en el mercado y usualmente cuando dicen que tienen algo, eso es algo que usualmente pueden demostrar”, dijo. «Sin embargo, cuando se habla de este tipo de objetivos de alto perfil, a veces las personas se jactan un poco más de lo que tienen, así que creo que la verdad está en algún punto intermedio».
• Jeff Mordock contribuyó a este informe.