Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Juanita Villegas

Ransomware: JBS paga a los delincuentes 11 millones de dólares

Escrito por: Mathew J. Schwartz (Bank Infor Security)


¿Es de extrañar que los delincuentes sigan recurriendo al ransomware cuando su botín individual de un atraco digital bien ejecutado puede valer $ 11 millones?



Nota de rescate por un REvil, también conocido como Sodinokibi, infección de ransomware (Fuente: Cisco Talos)


Esa es la cantidad que paga a los atacantes la filial estadounidense de propiedad absoluta del procesador de carne más grande del mundo, JBS, con sede en Sao Paulo.


"Esta fue una decisión muy difícil de tomar para nuestra empresa y para mí personalmente. Sin embargo, sentimos que esta decisión tenía que tomarse para prevenir cualquier riesgo potencial para nuestros clientes".
—Andre Nogueira, director ejecutivo de JBS USA

JBS descubrió el ataque el 30 de mayo y dijo que las operaciones en Estados Unidos, Canadá y Australia se habían interrumpido. Días después, el FBI atribuyó el ataque a REvil , también conocido como Sodinokibi, que es una operación de ransomware como servicio que se cree que tiene su sede, al menos parcialmente, en Rusia.

Tanto la oficina como la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. Han estado ayudando a la empresa con la remediación.


El miércoles, JBS USA, con sede en Greeley, Colorado, dijo en un comunicado que pagó $ 11 millones en criptomonedas a REvil. El pago parece haberse realizado no solo por la promesa de una herramienta de descifrado, sino también por una garantía de REvil de que no filtraría datos robados. Por supuesto, no hay garantía de si las garantías ofrecidas por los delincuentes pueden o deben ser confiables.


Pago: equivalente al 6% del presupuesto anual de TI


JBS USA dice que pagó el rescate, equivalente a casi el 6% de su presupuesto anual de TI, a pesar de que "la gran mayoría de las instalaciones de la empresa estaban operativas". Hasta ahora, JBS dice que no cree que se haya robado ningún dato.


Aun así, la compañía dice que "en consulta con profesionales de TI internos y expertos en ciberseguridad de terceros, la compañía tomó la decisión de mitigar cualquier problema imprevisto relacionado con el ataque y asegurarse de que no se filtrara ningún dato".

"Esta fue una decisión muy difícil de tomar para nuestra empresa y para mí personalmente", dice Andre Nogueira, CEO de JBS USA. "Sin embargo, sentimos que esta decisión debía tomarse para prevenir cualquier riesgo potencial para nuestros clientes".


El FBI, la Agencia Nacional contra el Crimen de Gran Bretaña y otras agencias de aplicación de la ley han dejado esto en claro: Hablando legalmente, la decisión de pagar o no un rescate sigue siendo de las víctimas. Una advertencia es si se sabe o se sospecha que el atacante está en la lista de sanciones de la Oficina de Control de Activos Extranjeros del Departamento del Tesoro de los EE. UU. , En cuyo caso las organizaciones deben comunicarse primero con el Departamento del Tesoro de los EE. UU. Antes de enviar dinero, o de lo contrario enfrentar posibles problemas legales. peligro.


Imperativo de defensa


En un mundo ideal, las organizaciones contarán con las mejores defensas posibles, incluidos los procesos de copia de seguridad y restauración sólidos, que les permitirán borrar y restaurar los sistemas en caso de que se produzca algún tipo de ataque. Del mismo modo, idealmente, las organizaciones contarán con un registro y una supervisión sólidos para detectar mejor los signos de un ataque y cerrarlo lo más rápido posible.

Lo que estaba en marcha en JBS no está claro, aunque la compañía afirma que era sólido. "La capacidad de JBS USA para resolver rápidamente los problemas resultantes del ataque se debió a sus protocolos de ciberseguridad, sistemas redundantes y servidores de respaldo cifrados", respaldados por la experiencia de sus 850 profesionales de TI a nivel mundial y más de $ 200 millones de gasto anual en TI, dice.


El ransomware es un negocio


Obviamente, los atacantes lograron pasar, y luego el gigante del procesamiento de carne optó por pagarles un rescate. No está claro cuánto exigieron los atacantes inicialmente, pero a menudo comienzan con un número alto y dejan que las víctimas lo regateen un poco.

Eso es un recordatorio de que el ciberdelito es un negocio y las bandas de ransomware no son una excepción. REvil es una de las muchas pandillas que se ejecutan como una operación RaaS, que involucra a un operador o grupo que desarrolla el malware y los servicios de soporte, como un sitio de filtración de datos y un portal de pago, donde también pueden tener lugar negociaciones, y luego lo proporciona a los afiliados. que infectan a los objetivos. Cada vez que una víctima paga, el operador se queda con una parte y envía el resto al afiliado responsable.

Al menos en los primeros días de REvil, la participación en las ganancias involucraba a los afiliados que recibían el 60% de cada botín, aumentando al 70% después de que tres víctimas pagaran.


Los afiliados tienden a ir y venir, en función de si se "jubilan" (muchos parecen regresar) o si reciben mejores ofertas de otras pandillas. El "Desconocido" de REvil, que parece ser un actor importante en la operación, ha dicho anteriormente que la mayor cantidad de afiliados que ha tenido la operación es 60.


Los afiliados dicen que comparan notas con regularidad a través de foros clandestinos. Un individuo conocido como "Aleks" que era, al menos entonces, un afiliado de LockBit , dijo a los investigadores de Cisco Talos a fines del año pasado que "REvil puede hacer que sus archivos sean inestables y Netwalker ralentiza demasiado el sistema", y dice que algunos afiliados anteriormente evitaban trabajar con Maze porque se quedó con el 35% de todas las ganancias.


Bolsas de caza mayor objetivos grandes


En parte, al reclutar afiliados más altamente calificados, muchas bandas de ransomware continúan persiguiendo objetivos más grandes, a través de una estrategia de caza mayor. Con un poco más de esfuerzo y habilidades, estas pandillas han descubierto que pueden acabar con objetivos más grandes, lo que genera mayores recompensas.

Recientemente, por ejemplo, Colonial Pipeline, que suministra alrededor del 45% del combustible utilizado a lo largo de la costa este, desde el norte de Georgia hasta Pensilvania y Nueva Jersey, pagó $ 4.4 millones en bitcoins a su atacante, la banda DarkSide.

Charles Carmakal, director de tecnología de la firma de ciberseguridad FireEye, que está ayudando a Colonial Pipeline, testificó el martes ante el Comité de Seguridad Nacional de la Cámara de Representantes que el descifrador funcionó , aunque con algunos errores, pero dijo que la compañía finalmente no lo usó, ya que pudo restaurar sistemas mediante copias de seguridad.


Afortunadamente para la compañía, el FBI pudo recuperar 63.7 bitcoins , por un valor de $ 2.3 millones, de los aproximadamente 75 bitcoins pagados. Pero la mayoría de las víctimas de DarkSide que pagaron un rescate no habrán tenido tanta suerte.


¿Pagando por qué?


Desafortunadamente para Colonial Pipeline, además de ser golpeado en primer lugar, el pago, según Carmakal de FireEye, aparentemente lo compró poco, lo que los expertos en seguridad dicen que no es infrecuente. Pagar por un descifrador en particular no compra una tarjeta Get Out of Jail Free. La reparación y limpieza de redes y la restauración de sistemas pueden llevar semanas o meses de costosos trabajos posteriores.

Otro inconveniente es que al menos parte del pago del rescate parece haberse quedado con la operación DarkSide y los afiliados responsables. Además, la pandilla ha obtenido enormes beneficios. La empresa de seguimiento de criptomonedas Elliptic ha contado alrededor de 100 víctimas de DarkSide, de las cuales casi el 50% pagó un rescate promedio de $ 1.9 millones a la pandilla.

Cada uno de estos pagos de rescate continúa validando el ransomware como un potente generador de dinero para los delincuentes y atrae a más delincuentes a unirse a la refriega. No es de extrañar que la Casa Blanca haya instado a las empresas estadounidenses a tomarse la defensa contra ransomware más en serio . Asimismo, se ha comprometido a hacer más desde una perspectiva diplomática y policial para alterar este modelo de negocio criminal.

Mientras las víctimas paguen, más organizaciones se convertirán en futuras víctimas.



Fuente: https://www.bankinfosecurity.com/blogs/ransomware-to-riches-story-jbs-pays-criminals-11-million-p-3055


3 vistas0 comentarios