Atlantic.Net proporciona este aviso de seguridad como noticia. Queremos asegurarles a nuestros clientes que Atlantic.Net no utiliza ninguno de estos productos afectados por este exploit internamente ni en ninguna de nuestras ofertas de servicios.
Están circulando informes preocupantes sobre un audaz ataque de ransomware cibercriminal que explota los servidores internos del departamento de policía de Washington DC. Las capturas de pantalla de los servidores de archivos internos del departamento se cargaron en el sitio del ransomware Babuk Locker y se publicaron en la darknet el 26 de abril de 2021.
El Departamento de Policía Metropolitana (MPD) gobierna la ciudad de Washington DC. Son una fuerza policial de alto perfil que vigila múltiples ubicaciones gubernamentales. Recientemente fueron llamados para protegerse contra el asalto al edificio del Capitolio de los Estados Unidos el 6 de enero de 2021. Las emisoras estadounidenses han especulado que el MPD fue atacado por estos motivos.
¿Qué sabemos sobre la violación de datos?
Los piratas informáticos obtuvieron acceso no autorizado a las computadoras MPD y descargaron más de 250 GB de archivos altamente confidenciales y sin cifrar. Esto fue parte de un ciberataque avanzado en el que se infiltraron los servidores de la policía alrededor del 19 de abril de 2021.
La pandilla de ransomware afirma en su sitio web que los datos descargados incluyen información sobre informantes de la policía, pandillas callejeras de DC e información confidencial sobre agentes de policía en servicio. Un MPD confirmó la infracción el 27 de abril, dijo el portavoz Sean Hickman:"Somos conscientes del acceso no autorizado a nuestro servidor".
Posteriormente se informó que el MPD está trabajando con el FBI para contrarrestar esta grave amenaza en curso. Se cree que el ataque tiene una motivación financiera. En ataques cibernéticos anteriores, Babuk publicó rescates en su sitio web, pero se desconoce en qué se fijó el rescate para el MPD. Babuk le ha dado al MPD 3 días para responder al rescate o comenzarán a divulgar información confidencial.
El ransomware Babuk y el propio grupo son relativamente nuevos en la escena, llamaron nuestra atención por primera vez en enero de 2021. Se sabe que han estado involucrados en al menos 5 grandes filtraciones de datos empresariales, incluida la empresa británica Serco Group PLC, un gobierno del Reino Unido. empresa de servicios.
McAfee completó un análisis técnico profundo del ransomware Babuk. En resumen, el malware elimina las instantáneas de un servidor, de forma similar a las copias de seguridad del sistema local. Los archivos se cifran con una clave utilizando el algoritmo ChaCha extremadamente fuerte, lo que hace que la clave sea imposible de descifrar.
¿Cuáles son las posibles causas de la infracción?
Todavía estamos aprendiendo exactamente cómo se apuntó el MPD, ya que los detalles son escasos. Si tenemos en cuenta los ataques anteriores del ransomware Babuk, es muy probable que sea uno de los siguientes:
- Email Spear Phishing – una campaña de phishing suele ser la causa número uno de las filtraciones de datos. Los piratas informáticos interactúan con el personal de primera línea para ganarse su confianza o engañarlos para que descarguen un archivo adjunto de malware de un correo electrónico. Una vez descargada, la carga de malware se ejecuta usando varias capas de sofisticación para comprometer la red de la víctima.
- Aplicación pública explotable – podría ser cualquier aplicación, sitio web o URL que esté expuesta a la Internet pública. Todas las aplicaciones pueden explotarse potencialmente; esta es la razón por la cual las actualizaciones de parches y seguridad son tan importantes.
- Ataque de escritorio remoto – otro vector de ataque probado son los ataques RDP de fuerza bruta en puntos finales vulnerables. Si una empresa tiene conexiones de escritorio remoto orientadas al exterior, todo lo que se interpone entre el pirata informático y el servidor es un nombre de usuario y una contraseña. Si la conexión RDP está asegurada con credenciales débiles, estas pueden adivinarse con relativa rapidez mediante herramientas de piratería.
- Minería de datos/Registro de teclas/Ladrón de información – otra posibilidad, y aunque menos probable, es que se hayan encontrado las credenciales en el repositorio de códigos en línea de MPD, o se haya comprometido un terminal para robar credenciales a las computadoras de la policía.
¿Qué sucede a continuación?
Hasta ahora, el MPD ha permanecido en silencio, solo confirmando la violación pero sin hacer comentarios sobre el contenido supuestamente robado de los servidores del MPD. Actualmente, parece que estamos esperando el vencimiento del plazo de 3 días otorgado al MPD. Es poco probable que el MPD pague el rescate, y el consejo del FBI generalmente es no pagar el rescate, pero dada la sensibilidad potencialmente extrema de los datos comprometidos, sobre todo una posible lista de informantes de la policía, Atlantic.Net vigilará cómo se desarrolla la situación.
Si su empresa está preocupada por la ciberseguridad, no dude en comunicarse con Atlantic.Net. Somos especialistas en Servicios Administrados, Alojamiento Dedicado en la Nube y cumplimiento de HIPAA. La seguridad de nuestra infraestructura es de suma importancia y trabajamos arduamente para garantizar que contamos con los mejores procesos de seguridad.