Acer sufre un ataque de ransomware que le exige 50 millones de dólares
El gigante informático Acer se ha visto afectado por un ataque del ransomware REvil. Lo más llamativo del ataque es que los actores de la amenaza exigen el mayor rescate conocido hasta la fecha: 50 millones de dólares.
Acer es un fabricante taiwanés de electrónica y computadoras conocido por sus computadoras portátiles, de escritorio y monitores. Acer emplea aproximadamente a 7,000 empleados y ganó $7.8 mil millones en 2019.
Ayer, el grupo de ransomware anunció en su sitio de filtración de datos que habían vulnerado Acer. Ellos compartieron algunas imágenes de archivos presuntamente robados como prueba.
Estas imágenes filtradas pertenecen a documentos que incluyen hojas de cálculo financieras, saldos bancarios y comunicaciones bancarias.
En respuesta a las consultas sobre el incidente, Acer no proporcionó una respuesta clara sobre si sufrieron un ataque del ransomware REvil. La respuesta que la empresa dio fue que “reportaron situaciones anormales recientes” a las autoridades de seguridad.
Puedes leer la respuesta completa a continuación:
“Acer monitorea rutinariamente sus sistemas informáticos, y estamos protegidos contra la mayoría de los ataques cibernéticos. Compañías como nosotros estamos constantemente bajo ataque. Hemos reportado las situaciones anormales recientes observadas a las autoridades policiales y de protección de datos relevantes en varios países”.
“Hemos estado mejorando continuamente nuestra infraestructura de ciberseguridad para proteger la continuidad del negocio y la integridad de nuestra información. Instamos a todas las empresas y organizaciones a que se adhieran a las disciplinas de ciberseguridad y las mejores prácticas. Y, que estén atentos a cualquier anomalía en la actividad de la red”.
Acer
Cuando se les solicitó más detalles, Acer dijo que “hay una investigación en curso. Y, por el bien de la seguridad, no podemos comentar sobre los detalles”.
La demanda de rescate más alta conocida
Después de conocer esta historia, Valery Marchive de LegMagIT descubrió algo muy interesante. La muestra del ransomware REvil utilizada en el ataque de Acer que exigía un enorme rescate de 50 millones de dólares.
Poco después, encontramos la muestra. Podemos confirmar que, según la nota de rescate y la conversación de la víctima con los atacantes, la muestra es del ciberataque a Acer.
En las conversaciones entre la víctima y REvil, que comenzaron el 14 de marzo, el representante de Acer mostró conmoción. El representante se vio impactado por la enorme demanda de 50 millones de dólares.
Más adelante en el chat, el representante de REvil compartió un enlace a la página de filtración de datos de Acer. La página era secreta en ese momento.
Los atacantes también ofrecieron un 20% de descuento si el pago se realizaba antes del miércoles pasado. A cambio, el grupo de ransomware proporcionaría un descifrador, un informe de vulnerabilidad y la eliminación de los archivos robados.
En un momento, el grupo REvil hizo una advertencia críptica a Acer “para que no repitieran el destino del SolarWind“.
La demanda de 50 millones de REvil es el mayor rescate conocido hasta la fecha. El monto más grande exigido anteriormente había sido de $30 millones por el ciberataque de Dairy Farm, este también fue exigido por REvil.
Posible explotación de Microsoft Exchange
Un investigador de seguridad reveló unos detalles interesantes. El afirmó que la plataforma de ciberinteligencia Andariel de Advanced Intel detectó que Revil recientemente atacó un servidor Microsoft Exchange en el dominio de Acer.
“El sistema de ciberinteligencia avanzado Andariel de Intel detectó que un afiliado de REvil en particular persiguió el armamentismo de Microsoft Exchange”.
Vitali Kremez
Los actores de amenazas detrás del ransomware DearCry ya han utilizado la vulnerabilidad ProxyLogon para implementar su ransomware. Sin embargo, ellos son un grupo más pequeño con menos víctimas.
Si REvil explotara las vulnerabilidades recientes de Microsoft Exchange para robar datos o cifrar dispositivos, sería aún más peligroso. Sería la primera vez que una de las operaciones de ransomware de mayor renombre utiliza este vector de ataque.
