Atlantic.Net proporciona este aviso de seguridad como noticia; queremos asegurar a nuestros clientes que Atlantic.Net no utiliza ninguno de estos productos afectados por este exploit internamente ni en ninguna de nuestras ofertas de servicios.
En los últimos días, han surgido informes de lo que podría convertirse en la mayor demanda de ransomware de la historia. La víctima reportada es Acer Inc., el gigante tecnológico multinacional taiwanés que es famoso por fabricar hardware para computadoras comerciales y personales, incluidas computadoras portátiles, computadoras, tabletas y pantallas visuales.
La noticia comenzó a aparecer el 19 de marzo de 2020 por el sitio web de tecnología y seguridad Bleeping Computer. El grupo de piratas informáticos REvil ha exigido un rescate de 50 millones de dólares a Acer después de lo que afirman que es una filtración de datos y un ataque de ransomware exitosos.
Se cree que REvil (anteriormente conocido como Sodinokibi) es una operación de ransomware como servicio basada en Rusia. Anteriormente, se han dirigido con éxito a la sede del gigante automovilístico Honda en el Reino Unido y al bufete de abogados estadounidense Grubman Shire Meiselas &Sack. La violación de Grubman fue noticia internacional ya que representaron a muchas personas famosas, incluidas Madonna, Lady Gaga, Donald Trump y Lebron James.
Como parte de la violación de Grubman, se filtraron documentos legales como parte de la extorsión, pero sensatamente nunca pagaron el rescate (a diferencia de la empresa de moneda de viaje del Reino Unido, Travelex, que supuestamente pagó a REvil más de 2,3 millones de dólares).
¿Qué sabemos sobre la infracción de Acer?
En el momento de escribir este artículo, no ha habido ninguna declaración oficial de Acer Inc. Si hay que creer en los informes, solo el sistema de correo electrónico de back-office estaba dirigido a Acer y ningún entorno de producción se vio comprometido. Sin embargo, REvil le ha dado a Acer 9 días para pagar una recompensa de $50 millones; este es el rescate más grande jamás informado, y el grupo ha publicado "evidencia" de la violación exitosa en su sitio web oculto de TOR.
A pesar del aumento de los servicios en la nube de Exchange Online y Microsoft 365, una gran cantidad de empresas aún operan granjas de servidores de Microsoft Exchange en las instalaciones, y se cree que la brecha puede haberse aprovechado de una vulnerabilidad de Microsoft Exchange descubierta recientemente. Debido a la naturaleza misma del método de entrega de correo electrónico de Exchange, al menos parte de la infraestructura de la red debe estar expuesta a la Internet pública, generalmente en forma de DMZ o proxy perimetral. Como resultado, cualquier vulnerabilidad puede exponer potencialmente una empresa a actores malintencionados.
El 2 de marzo de 2021, Microsoft se apresuró a parchear una "vulnerabilidad de ejecución remota de código de Microsoft Exchange Server" documentada en CVE-2021-26855. El boletín de seguridad indica que Exchange 2013, 2016 o 2019 eran vulnerables cuando se ejecutaban en Windows Server 2008 R2, Server 2012, Server 2012 R2, Server 2016 y Server 2019.
Posteriormente, Microsoft lanzó una herramienta de parches en GitHub para administradores de sistemas. La herramienta escanea el entorno para ver si la infraestructura es vulnerable. Si el análisis confirma que el sistema es vulnerable, se instalarán las actualizaciones de seguridad.
¿Cuál es el próximo paso?
A menos que Acer Inc. se haga pública, es posible que nunca sepamos el verdadero alcance de la violación, pero para exigir $ 50 millones, muchos esperan que el grupo de piratería tenga algunos datos valiosos sobre la empresa. Si no es así, los piratas informáticos solo están siendo optimistas en un intento de extorsionar dinero.
Con Acer con los labios apretados, este es en gran medida un caso de "esperar y ver". ¿Han pagado el rescate? ¿Han sido incluso hackeados? A decir verdad, nadie lo sabe todavía, y aunque se han publicado algunas pruebas sugeridas, no hay forma de validar si son genuinas.
Si su empresa está preocupada por la ciberseguridad, no dude en comunicarse con Atlantic.Net. Somos especialistas en servicios administrados, alojamiento en la nube y cumplimiento de HIPAA. La seguridad de nuestra infraestructura es de suma importancia y trabajamos arduamente para garantizar que contamos con los mejores procesos de seguridad.
No hay duda de que este ciberataque pasará a la historia y nos preocupamos por nuestros amigos de la industria que podrían verse afectados por esto. Atlantic.Net tiene un conjunto completo de servicios de seguridad administrados, para ayudarlo a ser proactivo y prepararse con anticipación para cualquier problema de seguridad. Póngase en contacto hoy.