Viernes, 13 Agosto 2021 22:22

Ciberataque a Accenture: al ultimátum para que pague rescate, respondió haber aislado los servidores afectados

El presunto ataque con ransomware fue perpetrado por el grupo que opera el programa LockBit, el cual mediante un comunicado en su propia web, en la dark net, ofrecía en venta las bases de datos de la multinacional francesa.

 Stand de Accenture en el MWC de 2013. Stand de Accenture en el MWC de 2013. Reuters en Business Insider

La compañía confirmó haber detectado actividad sospechosa en su sistema y que procedió a aislar los servidores afectados, en respuesta al anuncio efectuado por el colectivo de ciberdelincuentes que opera el ransomware LockBit, según publicó Business Insider.

El grupo delictivo amenazó hacer públicos en la web oscura (o dark web) los archivos encriptados de Accenture presuntamente capturados, a menos que la empresa pagase el rescate, se supo de acuerdo con capturas de pantalla del sitio web revisadas por CNN Business y Emsisoft, una firma de ciberseguridad.

Asimismo, Stacey Jones, una portavoz de Accenture, confirmó a CNN Business la existencia de un incidente de ciberseguridad el miércoles, pero no reconoció explícitamente un ataque de ransomware.

"A través de nuestros controles y protocolos de seguridad, identificamos una actividad irregular en uno de nuestros entornos", dijo Jones en un comunicado.

"Contuvimos inmediatamente el asunto y aislamos los servidores afectados. Hemos restaurado completamente nuestros sistemas afectados desde una copia de seguridad. No hubo impacto en las operaciones de Accenture ni en los sistemas de nuestros clientes".

Hasta ahora, ninguna fuente confirmó si se concretó pago alguno, pero lo cierto es que las noticias sobre el ciberataque cesaron.

Los criminales operadores del ransomware, que reivindican el presunto atentado a Accenture, la multinacional de origen francés dedicada a consultoría y servicios TI, consignaron en la página web que "esta gente", en referencia a la compañía, "está más allá de la privacidad y la seguridad".

En tono irónico escriben: "Espero que sus servicios sean mejores que lo que he visto dentro", continúa.

Además, traslada una siniestra invitación: "Si estás interesado en comprar alguna de las bases de datos, contáctanos".

Fuentes de la compañía confirmaron a Business Insider España que "pese" a sus protocolos y controles de seguridad, se identificó "actividad irregular" en uno de sus entornos informáticos.

"Inmediatamente hemos contenido esta actividad y aislado los servidores afectados", al tiempo que los han restaurado "con las copias de seguridad".

 

Sin impacto en los clientes

 

"No ha habido impacto en las operaciones de Accenture ni en el sistema de nuestros clientes", defienden los mismos informantes.

Junto con el comunicado, los ciberdelincuentes publicaron una cuenta regresiva, algo habitual en los colectivos que operan ransomware.

Fue programada para el mismo momento en el que todas las bases de datos de la firma que hubieran logrado sustraer durante el ciberataque se hicieran públicas.

Se trata de una extorsión muy habitual en el mundo de la ciberdelincuencia: si no pagas el rescate, se publica la información.

La novedad es que la extorsión es doble. Hasta el año pasado, los ataques con ransomware suponían que un código dañino se infiltraba en los sistemas informáticos de la víctima para tratar de cifrar los archivos e inutilizar el mayor número de dispositivos, bases de datos y sistemas informáticos posibles.

Para que la víctima pudiese recobrar la normalidad, se vería obligada a pagar un rescate económico en criptomonedas a los atacantes, para que estos le enviasen una contraseña con la que poder recuperar sus sistemas.

Pero desde 2020 el ransomware extrae datos confidenciales e información sensible de las redes de sus víctimas para hacer una segunda extorsión simultánea: si las víctimas no pagan, no solo no recuperarán el acceso a sus archivos, sino que verán sus datos confidenciales publicados en la red.

En este caso, medios internacionales como Le Parisien ya se hicieron eco del incidente.

CNN en español historió que la banda de ransomware LockBit surgió por primera vez en septiembre de 2019, basándose en un perfil del grupo que hizo Emsisoft.

LockBit, como muchas otras bandas de ransomware, alquila su software malicioso a terceros afiliados criminales que luego reciben una parte de los rescates a cambio de plantar el código en las redes de las víctimas.

En agosto de 2020, la Interpol advirtió de un aumento de los ataques con el software malicioso LockBit.

Entre las principales víctimas del grupo se encuentran Merseyrail, una red ferroviaria del Reino Unido, y Press Trust of India, una organización de noticias india, según Emsisoft.

El ransomware se convirtió en una amenaza crítica para la seguridad nacional y económica, según el gobierno de Estados Unidos, en medio de una serie de ataques contra objetivos corporativos y de infraestructura.

Escrito por
Buenos Aires, NA