Los 7 mayores ciberataques de 2021 (hasta ahora)
Ha sido un año muy ocupado para los hackers.
La pandemia provocada por Covid-19 y las consiguientes medidas de aislamiento y confinamiento social, condujeron a la generalización del teletrabajo, lo que desencadenó un aumento espectacular del número de violaciones de datos.
Según un informe de Hiscox, el porcentaje de empresas que han sido víctimas de ciberataques ha pasado del 38% al 43% en 2021, y más de una cuarta parte ha sufrido cinco incidentes o más. Se espera que la ciberdelincuencia cueste al mundo 6 billones de dólares a finales de año.
Los ciberdelincuentes están aprovechando la situación de pandemia para lanzar ciberataques muy sofisticados en todos los sectores posibles. Algunos de los tipos de ataques más comunes son el phishing, ransomware, malware, brute force, DDos y el port scanning.
En este artículo, enumeraremos 7 ciberataques que han marcado el año 2021, hasta ahora.
CNA Financial
Marzo
CNA Financial Corporation (CNA), la entidad propietaria de la aseguradora estadounidense de referencia en el mercado de las líneas comerciales de P&C (property and casualty), anunció el ataque a finales de marzo de 2021, afirmando que había sido víctima de un sofisticado ciberataque.
Consecuencias del ciberataque
Al parecer, la entidad pagó 40 millones de dólares (unos 32,8 millones de euros) a un grupo de hackers para recuperar el acceso a sus sistemas informáticos. Según Bloomberg, el pago del rescate se produjo unas dos semanas después del sofisticado ciberataque, que según la aseguradora fue detectado y detenido el 21 de marzo.
El ciberataque bloqueó el acceso de los empleados de CNA a la red de la empresa, pero también robó datos. La aseguradora dijo que el ataque provocó la interrupción de las operaciones y afectó a ciertos sistemas de la empresa. El 12 de mayo, CNA consiguió restablecer los sistemas, agradeciendo a los clientes su paciencia en la espera.
Según la prensa, la investigación del incidente concluyó que los ciberdelincuentes responsables del ataque pertenecen a un grupo llamado Phoenix. El malware utilizado (Phoenix Locker) es una variante de Hades, un ransomware utilizado por un grupo de hackers rusos (Evil Corp).
Acer
Marzo
El gigante informático Acer ha sufrido un ataque de ransomware llevado a cabo por el grupo REvil. El grupo explotó con éxito una vulnerabilidad en Microsoft Exchange, un servicio de correo electrónico de Microsoft utilizado a menudo por las empresas.
Consecuencias del ciberataque
El grupo que atacó a Acer pidió 50 millones de dólares, uno de los mayores rescates registrados. El sitio web Bleeping Computer afirmó que el grupo REvil accedió a un gran número de información confidencial del fabricante taiwanés, incluidos documentos financieros. Los hackers habrían compartido imágenes de los archivos robados a través de su sitio web como prueba del ataque.
Acer aclaró que cooperó activamente con todas las autoridades policiales y de protección de datos pertinentes en varios países. Sin embargo, el fabricante explica que sus mecanismos internos de seguridad detectaron este ataque de forma proactiva y se pusieron en marcha inmediatamente medidas de seguridad y precaución.
Colonial Pipeline
Mayo
Colonial Pipeline, uno de los principales operadores de oleoductos de Estados Unidos, que transporta gasóleo y gasolina a lo largo de 8800 km en el país, ha tenido que suspender todas sus operaciones tras sufrir un ciberataque.
Consecuencias del ciberataque
Colonial Pipeline pagó casi 5 millones de dólares a DarkSide, la organización que lanzó el ciberataque.
La transacción se habría realizado el día del atentado, el 7 de mayo, según informa Bloomberg, citando a dos fuentes cercanas a la transacción que dijeron que el pago se hizo en criptomonedas, un método de pago imposible de rastrear.
A pesar de haber pagado a los ciberdelincuentes casi de inmediato, el sistema tardó en restablecerse e incluso la empresa tuvo que recurrir a sus propias copias de seguridad del sistema para reanudar su pleno funcionamiento.
El director general de Colonial Pipeline, Joseph Blount, declaró ante una comisión del Senado estadounidense que el ataque se produjo utilizando un antiguo sistema de red privada virtual (VPN) que carecía de autenticación multifactor.
Según Katerina Goseva-Popstojanova, experta en ciberseguridad de la Universidad de Virginia Occidental, «el ataque de Colonial Pipeline parece deberse a unas prácticas de ciberseguridad inadecuadas, que facilitaron bastante la irrupción en los sistemas informáticos de la empresa y su infección con el ransomware.»
JBS Foods
Mayo
La filial estadounidense del gigante agroalimentario brasileño JBS, una de las principales empresas cárnicas del mundo, ha sido objeto de un ransomware. Varios servidores se vieron afectados y el incidente obligó a interrumpir gran parte de las actividades del grupo en Australia y Estados Unidos.
Consecuencias del ciberataque
El ransomware desató el temor a la escasez de alimentos y a la interrupción de la cadena de suministro de alimentos en Estados Unidos. El ataque también puso de manifiesto la gran dependencia de las empresas de sus sistemas, con informes de que los trabajadores tenían que realizar las tareas de carnicería manualmente, algo que no se hacía desde hace años en plantas de envasado de carne de este tamaño.
Al no poder acceder a sus sistemas, JBS USA acabó pagando el rescate de 11 millones de dólares (9 millones de euros). El pago se realizó en criptomoneda y según el Buró Federal de Investigaciones (FBI) los autores del ciberataque son un grupo de hackers con sede en Rusia conocido como REvil.
JBS no ha comentado la vulnerabilidad que permitió a los delincuentes acceder al sistema interno.
El ataque contra JBS se produjo apenas unos días después de que DarkSide llevara a cabo un ciberataque similar contra Colonial Pipeline.
Kaseya
Julio
Cientos de empresas que utilizan el software de gestión de la empresa estadounidense Kaseya han sido objeto de un ciberataque por parte de posibles hackers rusos. El ataque se aprovechó de un fallo que permitía la distribución del ransomware a través del software Virtual Systems Administrator (VSA) de Kaseya. Normalmente, este software proporciona un canal de comunicación de confianza que permite a los MSP un acceso privilegiado e ilimitado para ayudar a las empresas con sus entornos de TI.
Consecuencias del ciberataque
Dado que proporciona software de tecnología de la información a otras empresas, el ataque a Kaseya generó un efecto dominó que afectó a unas 1.500 organizaciones en varios países. Los hackers explotaron un fallo en un administrador de sistemas virtuales (VSA).
Los criminales de REvil, un grupo de hackers cuyo origen los expertos asocian a Rusia, es la entidad a la que se atribuye la autoría del ciberataque. Los ciberdelincuentes que lanzaron el ransomware exigieron un rescate de 70 millones de dólares en Bitcoins para acceder a la clave (decodificador) que permitiría recuperar los datos robados (encriptados), pero la empresa decidió cooperar con el FBI y la Agencia de Infraestructura y Ciberseguridad de Estados Unidos. Casi 20 días después, Kaseya utilizó una clave de descifrado universal para recuperar el acceso a sus datos.
El ataque a Kaseya muestra cómo incluso las empresas de TI pueden ser vulnerables y ser objetivo de la ciberdelincuencia. Así, todas las empresas pueden beneficiarse de los servicios de seguridad de terceros, pero también deben aplicar sus propias herramientas y prácticas de seguridad de datos a nivel interno.
Brenntag
Mayo
Brenntag es una empresa de distribución de productos químicos con sede en Alemania que opera en 77 países. A principios de este año, DarkSide tuvo como objetivo la división norteamericana de la empresa, cifrando los datos y dispositivos de la red comprometida y robando 150 GB de datos.
Consecuencias del ciberataque
DarkSide afirma que lanzó el ataque tras obtener acceso a la red de Brenntag a través de credenciales de usuario robadas y compradas en la Dark Web. Este tipo de ataque es cada vez más común, y es increíblemente difícil de combatir utilizando las tecnologías tradicionales de ciberseguridad.
Brenntag ha pagado un rescate de 4,4 millones de dólares al sindicato cibercriminal DarkSide.
Sin embargo, DarkSide no habría podido robar 150 GB de datos valiosos si la red Brenntag no permitiera a los titulares de cuentas privilegiadas extraer grandes volúmenes de datos. Hay muy pocas razones legítimas para que un administrador quiera mover tantos datos sensibles a la vez.
Las credenciales de usuario robadas a menudo no son declaradas y pueden incluso venir con valiosos privilegios administrativos. Los profesionales de la ciberseguridad deben elaborar políticas que muestren un marco de confianza cero incluso para los titulares de cuentas privilegiadas.
FBI
Noviembre
Los hackers comprometieron el sistema de correo electrónico externo del FBI y enviaron miles de correos electrónicos desde una cuenta del servicio de inteligencia estadounidense advirtiendo de un posible ciberataque. El ciberataque fue confirmado por la propia agencia y por expertos en seguridad.
Consecuencias del ciberataque
En un comunicado, citado por Reuters, el FBI explicó que los correos electrónicos falsos habían sido enviados desde una dirección de correo electrónico oficial del FBI, que terminaba en @ic.fbi.gov.
Aunque el sistema afectado por el incidente «se desconectó rápidamente tras descubrirse el problema», el FBI reconoció que «se trata de una situación recurrente».
Decenas de miles de correos electrónicos fueron enviados advirtiendo de un posible ciberataque, confirmó la organización Spamhaus Project, donde también mostró una copia del mensaje que está «firmado» por el Departamento de Seguridad Nacional de Estados Unidos.
Por el momento no está claro si los correos electrónicos fueron enviados por alguien con acceso a los servidores del FBI o si los hackers estuvieron involucrados en este incidente.
¿Está su organización protegida contra los ciberataques?
El cambio global hacia una cultura de trabajo a distancia ha aprovechado los ciberdelincuentes para lanzar ciberataques muy sofisticados.
Está claro que el año 2021 ha sido bastante difícil para las organizaciones en términos de ciberseguridad. Sin embargo, estas recientes violaciones de datos sirven para concienciar a las organizaciones para que se protejan a sí mismas y a sus clientes de las ciberamenazas.
Estas son algunas de las medidas de seguridad esenciales para que su empresa se mantenga a salvo en estos tiempos de inseguridad:
- Eduque a sus empleados para ayudarles a reconocer y combatir las nuevas ciberamenazas.
- Proteja sus dominios de correo electrónico de los ataques de phishing.
- Mantenga actualizados todos sus programas y aplicaciones.
- Utilizar una conexión VPN a una red protegida.
- Utilizar la autenticación multifactorial.
- Confíe en un socio experimentado para ayudar a su empresa a salvaguardar los datos y archivos confidenciales.
Newsletter!
Subscreva a nossa newsletter e receba semanalmente todas as atualizações, com bónus de um ebook diferente todos os meses!