Una ola de nuevos ataques de ransomware BlackMatter ha afectado a múltiples organizaciones en todo el mundo en los últimos días, con nuevas víctimas notables, incluida la firma de servicios de marketing de medios Marketron, la compañía francesa de bebidas La Martiniquaise y la cooperativa de granos New Cooperative de Iowa, con sede en EE. UU.
El grupo, que también golpeó al especialista en tecnología óptica Olympus a principios de septiembre, ha publicado varias víctimas nuevas en su sitio de filtración de la web oscura en los últimos días, según el RansomAlert servicio de inteligencia comunitaria.
En su declaración oficial, New Cooperative dijo que por precaución, había desconectado sus sistemas y el incidente ahora estaba contenido. Un portavoz dijo que la firma había notificado a las fuerzas del orden y a expertos en seguridad de datos de terceros para que investigaran.
En capturas de pantalla de contacto entre New Cooperative y BlackMatter, publicado en Twitter, El representante de New Cooperative intentó disuadir a BlackMatter del ataque, diciendo que como parte de la cadena de suministro de alimentos, no debería haber sido atacado según las reglas de BlackMatter.
“Aproximadamente el 40% de la producción de cereales se ejecuta en nuestro software y 11 millones de animales [sic] los horarios de alimentación dependen de nosotros ”, dijo supuestamente el representante de la Nueva Cooperativa. “Esto romperá la cadena de suministro muy pronto, y tendremos que informar esto a nuestros reguladores y probablemente al público si esta interrupción continúa. ¿Asumo que lo has pensado bien? CISA va a exigirnos respuestas ”.
En respuesta, el representante de BlackMatter afirmó que la organización no estaba sujeta a sus reglas. “Los críticos significan las necesidades vitales de una persona, y se gana dinero”, dijeron.
BlackMatter afirma haber robado datos de recursos humanos y financieros, información de investigación y desarrollo, y el código fuente del software patentado SoilMap de New Cooperative. La pandilla con sede en Rusia, que se disparó durante el verano después de que otros grupos, incluidos DarkSide y REvil, se apagaran, está exigiendo un rescate de $ 5,9 millones.
“Los detalles del ataque contra New Cooperative aún están surgiendo y el impacto podría ser de gran alcance”, dijo el asesor senior de seguridad de Sophos, John Shier. “Lo notable del ataque es la insistencia de la compañía en que son infraestructura crítica y, por lo tanto, deben evitarse según la política de BlackMatter.
“Sin embargo, los operadores detrás de BlackMatter no están de acuerdo con esta evaluación y continúan solicitando el pago de la víctima. Este ataque será el primero en probar la nueva política del gobierno de los EE. UU. Sobre la denuncia de ataques contra la infraestructura crítica a CISA y la respuesta de la administración de Biden a tal ataque “.
Grant Geyer, CISO y director de producto de Claroty, un proveedor de servicios de seguridad industrial, dijo que el hecho de que BlackMatter pareciera estar incumpliendo su palabra no debería sorprender a nadie.
“No es prudente tomarse la palabra de un ciberdelincuente”, dijo. “Pero independientemente de que este grupo específico vaya en contra de su palabra, el hecho es que las organizaciones de infraestructura crítica siguen siendo un objetivo lucrativo para muchos otros actores maliciosos. Estas organizaciones todavía necesitan apuntalar sus defensas tanto como sea posible.
“Este ataque demuestra cuán profunda y ampliamente están interconectadas la economía y la cadena de suministro. Las bandas de ransomware se alimentan del impacto psicológico de poner a las empresas integrantes de la cadena de suministro entre la espada y la pared, para que la decisión de pagar el rescate sea el camino más fácil a seguir “.
El aumento en la actividad de BlackMatter se produce días después de que las autoridades de EE. UU. Revelaran planes para imponer sanciones a comerciantes no especificados e intercambios de criptomonedas para disuadirlos de actuar como lavanderías de dinero para bandas de ransomware, lo que dificulta que los ciberdelincuentes se beneficien de los ataques de ransomware.
Las sanciones, que podrían imponerse a finales de esta semana, también vendrán junto con una nueva orientación para las empresas sobre los riesgos asociados con el pago de una banda de ransomware.
El especialista en seguridad cibernética de ESET, Jake Moore, dijo que sin una capacidad verdaderamente efectiva para atacar a las propias pandillas, era lógico apuntar a la infraestructura de pago asociada con los pagos de ransomware, pero este enfoque no estaría exento de desafíos.
“Cuando las empresas son atacadas, pueden caer con algo de fuerza y quedar atrapadas entre la espada y la pared”, dijo. “La creación de más sanciones puede simplemente aumentar los pagos del seguro, lo que, a su vez, hará crecer el ciclo comercial del ransomware.
“Poner la educación y la conciencia en el centro de la estrategia de seguridad cibernética es clave. Un mejor conocimiento sobre cómo operan los ataques y el apoyo preventivo eliminarán más ataques. Mejores copias de seguridad y restauración son más seguras que buscar a aquellos que están atrapados en una posición terrible y encontrar el resultado menos costoso “.