Acer, bajo un ciberataque de ransomware: exigen a la compañía 50 millones, el mayor rescate de la historia

20BITS Marta GascónNOTICIA22.03.2021 - 16:22h
Parece que detrás del ataque está el grupo internacional de cibercriminales REvil.
Parece que detrás del ataque está el grupo internacional de cibercriminales REvil.
Freepik
Parece que detrás del ataque está el grupo internacional de cibercriminales REvil.

La compañía tecnológica Acer se encuentra bajo un ciberataque y si quiere recuperar el control deberá pagar un rescate de 50 millones de dólares, según informa Bleeping Computer. Detrás de esta amenaza parece ser que está el grupo internacional de cibercriminales REvil, conocido en nuestro país como responsable de un ataque similar a Adif en 2020.

De ser cierto lo que reporta Bleeping Computer, se trataría del mayor rescate conocido hasta la fecha. El medio especializado afirma haber encontrado la muestra de ransomware REvil utilizado. El ciberataque a Acer ha sido anunciado por el propio grupo REvil en ‘Happy Blog’, su sitio de la Dark Web. Allí se ofrecen imágenes de los supuestos documentos obtenidos a la compañía tecnológica.

El ciberataque a Acer ha sido anunciado por el propio grupo REvil en ‘Happy Blog’, su sitio de la Dark Web
El ciberataque a Acer ha sido anunciado por el propio grupo REvil en ‘Happy Blog’, su sitio de la Dark Web.
Bleeping Computer

No obstante por el momento Acer no ha confirmado que se haya producido esta brecha en su seguridad, aunque tampoco lo ha negado: “Acer monitorea rutinariamente sus sistemas de TI, y la mayoría de los ataques cibernéticos están bien defendidos. Compañías como nosotros estamos constantemente bajo ataque, y hemos informado de situaciones anormales recientes observadas a las autoridades policiales y de protección de datos relevantes en varios países”, explicaba el fabricante taiwanés de electrónica a Bleeping Computer sobre el posible ciberataque.

En las solicitudes de más detalles, Acer dijo al medio que “hay una investigación en curso y por el bien de la seguridad, no podemos comentar sobre los detalles”.

Según lo mostrado por REvil, entre los documentos sustraídos hay hojas de cálculo financieras, saldos bancarios y comunicaciones bancarias. Parece que, en principio, la amenaza gira en torno a información sensible de la empresa y los datos personales de los usuarios de Acer no estarían afectados.

Bleeping Computer ha filtrado una imagen del aviso de amenaza en el que se puede ver que los cibercriminales advierten de que si el pago no se hace antes del 28 de marzo el precio del rescate se doblará, lo que supone que pedirán a Acer 100 millones de dólares.

Demanda de rescate de Acer en el sitio de pago Tor.
Demanda de rescate de Acer en el sitio de pago Tor.
Bleeping Computer

Algunos expertos apuntan a que la brecha de ciberseguridad se haya producido por un problema con el software Exchange de Microsoft, ya que Microsoft lanzó recientemente varias actualizaciones de seguridad para corregir vulnerabilidades de exploits encontrados en dicho software.

Cómo funciona REvil

“REvil o también conocido como Sodinokibi es un ransomware que sigue el modelo RaaS (Ransomware as a Service). Este malware, primeramente, intenta obtener privilegios en el sistema mediante la explotación de vulnerabilidades conocidas, seguidamente recopila datos confidenciales del sistema y de la sesión de un usuario para finalmente realizar el cifrado de los datos”, explica Chema Cuadrado, especialista en ciberseguridad en Hiberus Tecnología.

Además, este ransomware recurre a “diferentes técnicas de ofuscación de código”, lo que le ayuda a “dificultar su análisis e identificación por parte de los programas de antivirus o sistemas de detección de intrusión, volviéndolo una gran amenaza, ya que podría pasar desapercibido ante dichos controles”, apunta el especialista en ciberseguridad.

Principales técnicas empleadas para la distribución de este ransomware

Cuadrado explica cuáles son las vías por las que REvil y sus variantes logran acceder a las infraestructuras de las organizaciones:

  • Envío de correos electrónicos con archivos maliciosos adjuntos (archivos como ZIP, RAR, Javascript, PDF, ejecutables .exe, entre otros) mediante campañas de phishing.
  • Por medio de publicidad maliciosa o malvertising, es decir, código malicioso presente en anuncios que aparecen durante la navegación web, ejecutados directamente en nuestros equipos de trabajo para redirigir posteriormente a los servidores donde serán descargados otros ejecutables.
  • La explotación de vulnerabilidades identificada el pasado día 18 de marzo de 2021 por parte de Microsoft el cual ya ha parcheado.

Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.

Mostrar comentarios

Códigos Descuento

© 20 Minutos Editora, S.L.

Queda prohibida toda reproducción sin permiso escrito de la empresa a los efectos del artículo 32.1, párrafo segundo, de la Ley de Propiedad Intelectual. Asimismo, a los efectos establecidos en el artículo 33.1 de Ley de Propiedad Intelectual, la empresa hace constar la correspondiente reserva de derechos, por sí y por medio de sus redactores o autores.