Esta semana, Apple presentó sus nuevas iPad y iMac, estas últimas llenas de color, sin embargo, mientras los dispositivos eran presentados, hubo un lado negro.

Quanta Computer Inc., uno de los principales proveedores y fabricantes de los dispositivos de Apple, sufrió un ataque de ransomware que presuntamente robó información delicada, específicamente esquemas y fotografías de una nueva computadora portátil de la marca de la manzana.

El grupo cibercriminal denominado REvil o Sodinokibi publicó una entrada de blog en la dark web con información de la presunta infiltración a servidores del proveedor de Apple que tiene su sede en Taiwán.

Bloomberg publicó detalles sobre un seguimiento que realizó a la información que reveló el grupo cibercriminal, quien aseguró que era su ataque más grande de la historia.

Explicó que la publicación se realizó en ruso en un canal donde el grupo REvil recluta ciberatacantes. En dicho sitio, el grupo delincuencial publica los nombres y más datos de sus víctimas para persuadirlos de pagar por el rescate.

De acuerdo con Bloomberg, los piratas informáticos afirman que habían esperado para revelar el compromiso de Quanta hasta la fecha de la última gran revelación de Apple, alegando que el proveedor de repuestos no había expresado interés en pagar para recuperar los datos robados.

Por su parte, el proveedor asiático reconoció haber sido blanco de un ataque, aunque minimizó la situación.

“El equipo de seguridad de Quanta Computer ha trabajado con expertos de TI externos en respuesta a ataques cibernéticos en una pequeña cantidad de servidores Quanta.

“Hemos informado y mantenido comunicaciones fluidas con las autoridades policiales y de protección de datos pertinentes sobre las actividades anormales recientes observadas. No hay ningún impacto material en las operaciones comerciales de la empresa”, señaló la compañía en un comunicado.

Así, cuando este martes concluyó el evento de presentación de las iMac y iPad, REvil publicó la información que extrajo, entre la que parece tratarse de una Macbook que fue diseñada apenas en marzo pasado, detalló Bloomberg.

Al parecer, REvil le ha pedido directamente a Apple que pague el rescate antes del 1 de mayo, según informó Bleeping Computer, pues de lo contrario, los ciberatacantes seguirán con la publicación de nuevos archivos cada día.

Hasta el momento, Apple no ha emitido comentarios al respecto.

IBM logró acceder a servidores de una organización iraní que se dedica a lanzar ataques de ransomware (software para secuestrar servidores y dispositivos) a nivel mundial, con lo que pudieron descubrir su modus operandi.

Francisco García, líder de Seguridad de IBM México, presentó el estudio X Force Threat Intelligence Index 2021, y explicó que la organización iraní tenía brechas de seguridad, por lo que las aprovecharon para acceder a ellos y lograron ver, durante cinco horas, cómo se preparan para hacer sus ataques con ransomware.

“A través de un error en la configuración de sus servidores de los atacantes, logramos acceder a más de cinco horas de video de una organización iraní, donde pudimos identificar cómo entrena a las personas que recluta para hacer este tipo de ataques (ransomware). 

“Lo que identificamos con la organización iraní es un servidor donde guardaban videos para entrenar a personas que forman parte de la organización. Esa información la hicimos pública y la compartimos con organizaciones de seguridad correspondientes en donde hallamos esto. Es importante hacerla pública para tener más preparación contra la metodología de los atacantes”, comentó el especialista de IBM. 

De acuerdo con el estudio de IBM, el 23 por ciento de los ciberataques a sus clientes están relacionados con ransomware, y 28 por ciento de estos fueron enfocados a la industria de la salud, pues los atacantes aprovecharon la pandemia de la Covid-19. 

Francisco García ejemplificó que sólo con el ransomware llamado Sodinokibi, que se identificó a finales de 2019, los atacantes lograron ganancias por alrededor de 123 millones de dólares el año pasado.

Explicó que las ganancias no sólo son por recibir un pago para liberar servidores o computadoras, sino que los delincuentes también venden la información de las empresas, por lo que hacer el pago del rescate no garantiza que los atacantes no accedan a los datos. Dijo que el año pasado, los mismos del ransomware Sodinokibi accedieron a casi 21.6 terabytes de información de diversas industrias.

“Otro tema importante es que en el caso de Sodinokibi, identificamos que en el 43 por ciento de los casos de las entidades atacadas y que decidieron pagar, a final de cuentas tuvieron filtración de datos. Eso habla que las organizaciones no sólo buscan la ganancia económica por la extorsión, sino ganancia a través de filtración de los datos”, comentó García.

Las industrias con más ataques, tanto ransomware como phishing, son en primer lugar la financiera, seguida por la manufactura (que subió del lugar ocho en 2019), en tercero la energía (que permanecía en el noveno), después retail, servicios, gobierno, salud, transporte y educación, reveló el informe de IBM.

En América Latina, el ransomware es la principal amenaza con 19 por ciento del total, empatado con los ataques a correos empresariales, mientras que en tercer sitio se encuentran los errores de configuración de los sistemas con 14 por ciento, y con el mismo porcentaje aparece la filtración de datos. 

Incluso, en Norteamérica los ataques tipo ransomware son más que en América Latina, pues representan el 33 por ciento del total.

La compañía de cambio de divisas extranjeras, Travelex, fue atacada por piratas informáticos que exigían una suma de hasta 6 millones de dólares para liberar la base de datos de la compañía, publicaron medios británicos.

Travelex se vio obligado a cerrar su sitio web después de que el ransomware Sodinokibi se apoderó de su sistema en la víspera de Año Nuevo. Se cree que se programó mientras muchos de los empleados de la empresa estaban de vacaciones.

Según los informes, los piratas informáticos amenazaron con liberar 5 GB de datos personales de los clientes, incluidos los números de seguridad social, fechas de nacimiento e información de tarjetas de crédito, a menos que la empresa pagara el rescate.

Al personal de las oficinas centrales en Londres se les pidió que devolvieran las computadoras portátiles antes de abandonar el edificio, mientras la compañía intentaba llegar al fondo de la amenaza.

Los sitios de Travelex han estado fuera de línea por más de una semana, y la empresa proporciona servicios de cambio de divisas manualmente en sus sucursales. Sin embargo, una gran red de otras empresas que confían en los servicios de Travelex, incluidos Virgin Money y Sainsbury’s Bank, también se han visto afectados. 

En su sitio web corporativo explica que, “si bien la investigación aún está en curso, hasta la fecha nuestra indagación muestra que los datos del cliente no se han visto comprometidos”.

La policía metropolitana lidera la investigación del ataque.

The Guardian informó que Travelex fue advertido recientemente sobre la vulnerabilidad en sus servidores de la red privada virtual (VPN). Sin embargo, la compañía de cambio no ha respondido a la solicitud de comentarios del diario británico.

En un comunicado, Virgin Money dijo: “Las investigaciones de Travelex están en curso, sin plazos de resolución confirmados. Como se trata de un problema global de Travelex, los clientes no pueden realizar pedidos a través del sitio web de dinero de viaje de Virgin Money (o cualquier sitio web de Travelex) o el centro de contacto. No obstante, los clientes pueden procesar los pedidos en las oficinas de Travelex directamente”.

Se entiende que el número de clientes afectados de Virgin Money es pequeño, debido a una pausa estacional en la demanda de divisas.

Un portavoz de First Direct dijo que no se bloqueó el acceso a sus clientes porque no ofrecen tarjetas de crédito precargadas. Por su parte, un portavoz de Tesco Bank dijo que sus más de 360 ​​oficinas Tesco Travel Money “están abiertas de manera normal y tienen existencias para nuestras principales monedas”. 

Travelex, con sede en Londres, tiene presencia en más de 70 países, cuenta con más de mil 200 sucursales y mil cajeros automáticos en todo el mundo. Procesa más de 5 mil transacciones de divisas cada hora.