Banda de ransomware atacó a una cooperativa de agricultores y exige $5.9 millones
Un grupo de ransomware que se cree que es la última encarnación de la infame banda cibernética DarkSide está siendo acusada deatacar una red cooperativa de agricultores en línea. La banda está exigiendo un rescate de $5.9 millones.
Este notorio ataque a un colectivo de agricultores de Iowa, EEUU, llamado NEW Cooperative se le ha atribuido a la banda BlackMatter . El incidente ocurrió durante el fin de semana, bloqueando los sistemas informáticos.
Los ciberdelincuentes detrás del ataque exigen un rescate de $5.9 millones para proporcionar un descifrador. La demanda de rescate aumentará a $11.9 millones si no la pagan en cinco días.
La organización con sede en Iowa es una cooperativa de agricultores, con 50 ubicaciones. Proporciona una variedad de servicios digitales y de software a su red de agricultores.
Como resultado del ataque, la organización tuvo que cerrar sus operaciones y también enfrenta la amenaza de que BlackMatter filtre datos robados si no paga el rescate. Este método de doble extorsión ahora es común y un sello distintivo del antiguo grupo DarkSide, cuyos miembros se cree que ahora dirigen el programa en BlackMatter.
New Cooperative desconectó sus sistemas como táctica de mitigación, según afirmó un representante de la cooperativa a los medios de comunicación.
“NEW Cooperative identificó recientemente un incidente de ciberseguridad que está afectando algunos de los dispositivos y sistemas de nuestra empresa. Por precaución, hemos desconectado de forma proactiva nuestros sistemas para contener la amenaza y podemos confirmar que se ha contenido con éxito”.
Declaraciones del representante de la organización.
La cooperativa está trabajando con expertos en seguridad de datos y agentes policiales para investigar y remediar la situación.
Desafiando la advertencia de Biden
El ataque se produce inmediatamente después de otro importante ataque atribuido a BlackMatter contra el gigante tecnológico japonés Olympus, que ocurrió el 8 de septiembre. El grupo, que actúa como operación de ransomware como servicio, está retomando donde lo dejó DarkSide, según expertos en seguridad. Se cree que el antiguo grupo de ransomware, que dejó de funcionar hace meses, está detrás de una serie de ataques exitosos e incluso inspiró actividades de imitación.
Recordemos que las autoridades culparon a DarkSide por el ataque a Colonial Pipeline en mayo. El ataque causó una interrupción significativa en la industria del petróleo y el gas. Ese ataque, entre otros, impulsó al presidente Joe Biden a identificar 16 sectores de infraestructura nacional crítica y los declaró fuera del alcance de los ataques de ransomware, entre ellos la agricultura.
Sus comentarios estaban dirigidos a los líderes mundiales para que cooperen y vigilen mejor su patria contra la actividad de ransomware contra objetivos estadounidenses.
El ataque a NEW Cooperative muestra que el intento de proteger las infraestructuras críticas requerirá más que palabras, según un profesional de seguridad.
Los presuntos miembros de BlackMatter defendieron el ataque en línea en una declaración. Ellos afirman la cooperativa no cuenta como infraestructura crítica porque “los volúmenes de su producción no se corresponden con el volumen para llamarlos críticos”.
Chris Morgan, analista senior de inteligencia de amenazas cibernéticas en Digital Shadows, dijo que el ataque sugiere una falta de respeto a la directiva de Biden. “Esto, como era de esperar, parece haber caído en oídos sordos, con BlackMatter desde que afirmó que no creían que NEW Cooperative era infraestructura crítica”.
Jake Williams, cofundador y director de tecnología de la empresa de respuesta a incidentes BreachQuest, señaló que los delincuentes tienen dificultades para honrar algo.
Análisis de las autoridades sobre el incidente
No está claro si NEW Cooperative pagará el rescate o si está en condiciones de recuperar sus datos y hacer que los sistemas vuelvan a funcionar de otra manera.
Sin embargo, las conversaciones entre representantes de la cooperativa y BlackMatter filtradas por investigadores de seguridad en Twitter muestran que NEW Cooperative considera el ataque como uno que cae bajo el paraguas de infraestructura crítica del gobierno debido a la posible interrupción de la cadena de suministro de alimentos.
“Si no podemos recuperarnos muy pronto, habrá una interrupción pública muy grande [SIC] en la cadena de suministro de granos, carne de cerdo y pollo”. Esto le dijo la cooperativa a BlackMatter, agregando que el 40 por ciento de la producción de granos se ejecuta en su software. Asimismo, aseguró que las fuentes de alimentación de 11 millones de animales dependen de la organización.
A pesar de su opinión de que el ataque no fue contra infraestructura crítica, BlackMatter finalmente tendrá que responder ante el gobierno federal, dijo NEW Cooperative al grupo. La cooperativa dijo que trabajará con la Agencia de Seguridad de Infraestructura de Ciberseguridad (CISA) mientras continúa investigando y resolviendo el incidente.
“CISA va a estar exigiendo respuestas de nosotros dentro de las 12 horas aproximadamente. Y, vamos a tener que decirles exactamente qué ha sucedido y por qué se interrumpió la cadena de suministro de alimentos”, según la conversación filtrada.