Kia sufre presunto ataque de ransomware y le exigen 20 millones de dólares

Kia Motors America ha sufrido un ataque de ransomware por parte del grupo DoppelPaymer, o al menos eso creemos. El grupo supuestamente le está exigiendo 20 millones de dólares por un descifrador y no filtrar datos robados.

Kia Motors America (KMA) tiene su sede en Irvine, California, y es una subsidiaria de Kia Motors Corporation. KMA tiene casi 800 distribuidores en los Estados Unidos con automóviles y SUV fabricados en West Point, Georgia.

Ayer nos enteramos que Kia Motors America estaba sufriendo una interrupción de su infraestructura informática en Estados Unidos. La interrupción afectó sus aplicaciones móviles UVO Link, servicios telefónicos, sistemas de pago, portal de propietarios y sitios internos utilizados por los concesionarios.

Al visitar sus sitios, los usuarios veían un mensaje que indicaba que Kia está “experimentando una interrupción del servicio informático que afectó a algunas redes internas”.

Un propietario de un auto Kia tuiteó que un concesionario le dijo que los servidores estaban inactivos debido a un ataque de ransomware.

Kia dio dado la siguiente declaración con respecto al incidente de manera inmediata:

“KMA está al tanto de las interrupciones informáticas que involucran sistemas internos, de distribuidores y de atención al cliente, incluida la UVO. Nos disculpamos por cualquier inconveniente a nuestros clientes y estamos trabajando para resolver el problema y restaurar las operaciones comerciales normales lo antes posible”.

Kia Motors America.

Kia fue atacado por el ransomware DoppelPaymer

Observamos una nota de rescate que, según conocimos, fue creada durante el ciberataque hacia Kia Motors America por parte del grupo de ransomware DoppelPaymer.

En una nota de rescate los atacantes afirman que atacaron a Hyundai Motor America, la empresa matriz de Kia. Hyundai no parece verse afectado por este ataque.

La nota de rescate contiene un enlace a una página privada de víctimas en el sitio de pago de Tor de DoppelPaymer. Este una vez más afirma que el objetivo es ‘Hyundai Motor America’.

La página de víctimas de Tor dice que una “gran cantidad” de datos fue robada, o exfiltrada, de Kia Motors America. La información se publicará en 2-3 semanas si la compañía no negocia con los actores de amenaza.

DoppelPaymer

DoppelPaymer es conocido por robar archivos no cifrados antes de cifrar los dispositivos. Y, luego publica partes en su sitio de filtración de datos para presionar aún más a las víctimas para que paguen.

Para evitar la filtración de datos y recibir un descifrador, DoppelPaymer exige 404 Bitcoins por un valor aproximado de $20 millones. Si no pagan el rescate dentro de un período de tiempo específico, la cantidad aumenta a 600 Bitcoins, o $30 millones.

El grupo DoppelPaymer no ha indicado qué tipo de datos han robado. Según la cantidad de servicios de Kia que sufren una interrupción, seguramente una amplia gama de servidores fueron afectados.

El robo de archivos no cifrados se ha convertido en una táctica ampliamente utilizada por los grupos de ransomware. Esto para obligar a las víctimas a pagar, y Emsisoft afirma que ha afectado a más de 1,300 empresas en todo el mundo.

“A nivel mundial, más de 1300 empresas, muchas de ellas con sede en Estados Unidos perdieron datos, incluida la propiedad intelectual y otra información confidencial. Ten en cuenta que este es simplemente el número de empresas de la cuales sepublicaron datos en sitios de filtraciones. Aquí no contamos las empresas que pagaron para evitar publicación”, afirma el informe State of Ransomware 2020 de Emsisoft.

Otras víctimas conocidas atacadas por DoppelPaymer anteriormente son Foxconn, Compal, PEMEX (Petróleos Mexicanos) y la ciudad de Torrance en California. Asimismo. la Universidad de Newcastle, el condado de Hall en Georgia, Banijay Group SAS y Bretagne Télécom.

Actualización: después de las declaraciones iniciales, Kia ha vuelto a pronunciarse.

Kia niega el ataque

Kia Motors America, (“Kia”) está experimentando actualmente una interrupción prolongada de sus sistemas. Los sistemas afectados incluyen el portal de propietarios de Kia, las aplicaciones móviles de UVO y el portal web de Consumer Affairs. Pedimos disculpas por cualquier inconveniente causado a los clientes afectados y estamos trabajando para resolver el problema lo más rápido posible. Esto con una interrupción mínima de nuestro negocio. También somos conscientes de las especulaciones en línea de que Kia está sufriendo un ataque de “ransomware”. En este momento, podemos confirmar que no tenemos evidencia de que Kia o cualquier dato de Kia esté sujeto a un ataque de “ransomware”.

Hyundai también experimentó interrupciones

De manera extraoficial, varios empleados de Hyundai y del concesionario han afirmado que Hyundai también se vio afectado por interrupciones inexplicables.

En correos electrónicos enviados por Hyundai Motors America a los concesionarios de Kia el sábado, Hyundai declaró que varios sistemas estaban inactivos. Esto incluía su sitio interno de concesionarios, hyundaidealer.com.

También los servicios utilizados por los técnicos de los distribuidores también se vieron afectados.

Desde entonces, algunos de estos servicios se han restablecido.

En una declaración redactada de manera similar a la de Kia, Hyundai dijo que no tienen evidencia de un ataque de “ransomware”.

“En este momento, podemos confirmar que no tenemos evidencia de que Hyundai Motor America esté siendo víctima de un ataque de” ransomware”. 

Hyundai Motors América

Esta situación es bastante extraña, ambas empresas han sufrido interrupciones en sus sistemas informáticos, pero ambas niegan ser víctimas de un ciberataque relacionado a ransomware.

Lo más probable es que las empresas hayan sido afectadas por un ciberataque, pero están negociando con los atacantes. Aunque esto es solo una teoría.

Deja un comentario