El gigante portugués de la energía EDP es objeto de un ataque de malware

Podemos informar que esta semana, el gigante energético multinacional portugués Energias de Portugal (EDP) es la última empresa que está luchando contra los ciberatacantes tras sufrir un ataque de ransomware. El grupo detrás de este ataque utilizó la variante de malware RagnorLocker y ha sido informó que los hackers piden 10,9 millones de dólares como rescate a cambio de los archivos robados y bloqueados. Se cree que hay hasta 10 TB de información corporativa crítica que los autores amenazan con filtrar si no se cumplen sus exigencias de rescate.

Tras un examen más detallado por parte de MalwareHunterTeam, nos informaron de que las capturas de pantalla de los datos robados ya publicadas en el sitio de «noticias» del grupo parecen indicar que podrían tener acceso a terabytes de datos. Las capturas de pantalla, que se hicieron públicas a través de Twitter, aparentemente muestran comprobaciones en el código para evitar la ejecución en países que antes formaban parte de la Unión Soviética.

Es una posición desafortunada en la que se encuentra EDP, pero que exige que las organizaciones cuenten con la seguridad adecuada y la necesidad de realizar copias de seguridad de los archivos. He aquí algunas palabras de profesionales de la ciberseguridad sobre esta historia:

Martin Jartelius, CSO de Outpost24:

«Es una situación en la que no desearías que nadie se encontrara, y es una vez más un testimonio de la necesidad de la defensa en profundidad, y en su caso de no utilizar las credenciales y los permisos de tal manera que el acceso en el dominio llegue tan lejos tan rápido. Si la afirmación de 10 TB de datos exfiltrados es cierta, la exfiltración por sí sola debe haber estado en curso durante una gran cantidad de tiempo.

Hay muchos medios por los que esto podría haber sido detectado, respondido y probablemente también evitado, pero hay poco valor para especular al respecto, lo mejor que otros pueden hacer es aprender de ello y tomar medidas preventivas.»

Andrea Carcano, fundador y CPO, Nozomi Networks

«Amenazar con filtrar datos es cada vez más popular entre los operadores de ransomware, como hemos visto con DoppelPaymer, Sodinokibi, y ahora, Ragnar Locker.

En el pasado, las víctimas veían interrumpidas sus operaciones simplemente por el cifrado de datos por impacto. Hoy en día, muchas organizaciones cuentan con estrategias para responder a este tipo de ataques, utilizando, por ejemplo, copias de seguridad. Por ello, la alternativa más lucrativa que emplean hoy los operadores de ransomware es amenazar con la filtración de datos sensibles. Los delincuentes buscan explícitamente objetivos que contengan datos sensibles, y cuanto más importantes sean los datos, más ventaja podrán ejercer sobre las víctimas.

La filtración de datos sensibles puede provocar una serie de graves consecuencias para la organización afectada, como la pérdida de propiedad intelectual, que es muy valiosa para las que se dedican a la I+D, por ejemplo. Las empresas víctimas también tienen que lidiar con el impacto económico y de reputación de las filtraciones debido a las regulaciones de protección de datos, lo que hace que la influencia del atacante sea aún más fuerte.»