El gigante automotriz Denso fue víctima de un ataque de ransomware

El fabricante de piezas de automóviles DENSO confirmó que sufrió un ciberataque el 10 de marzo. Esta confirmación ocurrió después de que la nueva banda de  ransomware Pandora comenzó a filtrar datos supuestamente robados durante el ataque.

DENSO es uno de los mayores fabricantes de componentes para automóviles del mundo. La empresa suministra a marcas como Toyota, Mercedes-Benz, Ford, Honda, Volvo, Fiat y General Motors una amplia gama de piezas eléctricas, electrónicas, de control del tren motriz y otras piezas especializadas.

La compañía opera desde Japón, pero tiene más de 200 subsidiarias y 168,391 empleados en todo el mundo y reportó $44.6 mil millones en ingresos para 2021.

DENSO atacado por la banda de ransomware Pandora

DENSO confirmó en un comunicado publicado este fin de semana que su red corporativa en Alemania fue vulnerada el 10 de marzo de 2022.

La compañía afirma que detectó el acceso ilegal y respondió de inmediato para aislar al intruso del resto de los dispositivos de la red, limitando el impacto solo a la división alemana.

“DENSO ha confirmado que un tercero accedió ilegalmente a la red de su empresa del grupo en Alemania el 10 de marzo de 2022.

Después de detectar el acceso no autorizado, DENSO cortó rápidamente la conexión de red de los dispositivos que recibieron acceso no autorizado y confirmó que no hay impacto en otras instalaciones de DENSO”.

Comunicado de prensa publicado por DENSO.

Todas las plantas e instalaciones de producción siguen funcionando con normalidad. Es decir, no se prevén interrupciones en la cadena de suministro a causa de este incidente de seguridad.

Una interrupción en la cadena de suministro de DENSO provocaría un efecto dominó en la producción de automóviles en múltiples instalaciones en todo el mundo. En otras palabras, afectaría a una industria que ya está luchando por la escasez de chips y el cierre de plantas en Ucrania.

Si bien DENSO afirma que el ataque cibernético no ha causado un impacto en sus operaciones, la nueva banda de ransomware Pandora comenzó  a filtrar 1.4 TB de archivos supuestamente robados durante la infracción de la red.

Las muestras de los datos filtrados incluyen órdenes de compra, esquemas técnicos, acuerdos de confidencialidad, etc. Sin embargo, no hemos podido verificar si los archivos filtrados fueron robados en el incidente reciente.

Reporte a las autoridades

DENSO ha informado a las autoridades de investigación locales sobre la infracción, por lo que si los archivos filtrados son auténticos, copiarlos, compartirlos o publicarlos constituiría una violación de los derechos de propiedad intelectual de la empresa.

Si bien Pandora es una banda de ransomware con su propio cifrador, se desconoce si cifraron con éxito los archivos en la red de DENSO antes de que se detectara el ataque.

Un investigador de seguridad afirmó haber visto una lista de acceso a la red en un mercado de la web oscura hace unos meses. Él asegura que advirtió a DENSO sobre las credenciales robadas.

Funny enough, couple months ago I warned DENSO of threat actor selling access to their network, if it's the very same way they entered their network I am gonna flip my table https://t.co/rf7g3Pcp6u

— Rad V. (@radvadva) March 13, 2022

Aunque la compra de un acceso inicial es un escenario posible, en este momento, la compañía no ha revelado cómo se filtraron. 

El ciberataque a DENSO es el tercero en 2022 contra un fabricante de automóviles o un productor destacado de piezas de automóviles.

En febrero, Toyota, el fabricante de automóviles más grande del mundo, tuvo que detener la producción en 14 de sus instalaciones japonesas. Esto ocurrió debido a un ciberataque  en uno de sus principales proveedores.

La semana pasada, Bridgestone confirmó un ataque de ransomware a fines de febrero del cual el grupo LockBit se hizo responsable. Bridgestone dijo a los medios que, como resultado del ataque, algunas de sus operaciones en América del Sur y del Norte sufrieron un tiempo de inactividad.

¿Quién es la banda de ransomware Pandora?

Pandora es una nueva banda de ransomware lanzada en marzo de 2022 que apunta a redes corporativas y roba datos para ataques de doble extorsión.

Una vez que obtienen acceso a una red, los ciberdelincuentes se propagan lateralmente a través de la red mientras roban archivos sin cifrar para usarlos en demandas de extorsión.

Al cifrar un dispositivo, el ransomware agrega la extensión .pandora a los nombres de los archivos cifrados, como puedes ver a continuación.

A medida que el ransomware cifra los archivos, Pandora crea notas de rescate en cada carpeta denominada ‘Restore_My_Files.txt'. Estas notas de rescate explican lo que sucedió con el dispositivo e incluyen una dirección de correo electrónico a la que las víctimas pueden contactar para realizar negociaciones de rescate.

Las notas de rescate también incluyen un enlace a un sitio de filtración de datos. Este sitio es utilizado por la banda de ransomware para llevar a cabo sus campañas de doble extorsión.

Como la operación de ransomware es muy nueva, se desconoce cómo obtienen acceso a las redes corporativas y cuánto exigen como rescate.

El investigador de seguridad pancak3  cree que Pandora es un cambio de nombre del ransomware Rook debido a las similitudes de código y los empaquetadores utilizados por la  banda.

Intezer detectó una muestra del ransomware Pandora en  VirusTotal  como Rook, lo que indica similitudes de código.

Además, el investigador de seguridad  Arkbird  descubrió que Pandora usa el mismo empaquetador ejecutable que ‘NightSky’. NightSky es el nuevo nombre de las antiguas bandas de ransomware LockFile/AtomSilo.

I have deleted by previous tweet due I have missed the word "before" Nightsky and confusing, the packer is a similar UPX with UPX header corruption for avoid to be properly unpacked by UPX tool and reach an exception in the process. pic.twitter.com/gED7dLUd0U

— Arkbird (@Arkbird_SOLG) March 14, 2022

Similitudes con otras bandas

También se cree que Rook se basa en el  código fuente de la banda de ransomware Babuk. Recordemos que el código fuente de Babuk se filtró en un foro de hackers en septiembre pasado.

Curiosamente, Rook también había publicado datos en diciembre de 2021 que supuestamente pertenecían a DENSO. Es decir, no está claro si la empresa fue atacada dos veces por la misma banda de ransomware.

Las operaciones de ransomware comúnmente se renombran a sí mismas en lo que la comunidad de seguridad llama un ‘cambio de marca’. Ellos realizan este “cambio”  con la esperanza de que les ayude a evadir a las autoridades y las posibles sanciones de los gobiernos.

Sin embargo, a menos que los ciberdelincuentes cambien por completo el código, las herramientas y las tácticas de su malware, siempre habrá formas de detectar cuándo una banda cambia de marca, lo que facilita la vinculación con operaciones de ransomware anteriores.

Si Pandora es un cambio de marca de Rook, es probable que veamos la operación ejecutándose con este nombre durante algún tiempo. Esto será así antes de que vuelva a cambiar de nombre, como hemos visto anteriormente con otras versiones de esta familia de ransomware.