Peligrosa banda de ransomware hackeó un oleoducto europeo
La banda de ransomware ALPHV/BlackCat afirma haber hackeado el gasoducto europeo Creos Luxembourg SA
Creos Luxembourg SA posee y gestiona redes eléctricas y gasoductos de gas natural en el Gran Ducado de Luxemburgo. En tal carácter, la sociedad planifica, construye y mantiene redes eléctricas de alta, media y baja tensión y gasoductos de alta, media y baja presión, de las que es titular o tiene a su cargo su gestión.
El grupo de ransomware ALPHV/BlackCat afirma haber robado más de 150 GB de la empresa, un total de 180,000 archivos. Los datos robados incluyen contratos, acuerdos, pasaportes, facturas y correos electrónicos.
La empresa Encevo, propietaria de la mayoría de Creos, publicó un aviso de seguridad para anunciar que el gasoducto sufrió un ciberataque entre el 22 y 23 de julio. Encevo registró una denuncia ante la Policía del Gran Ducado y por supuesto notificó a la CNPD (Comisión Nacional de Protección de Datos), el ILR (Instituto de Regulación de Luxemburgo) y los ministerios competentes.
“El Grupo Encevo desea informar que sus entidades de Luxemburgo Creos (operador de red) y Enovos (proveedor de energía) fueron víctimas de un ciberataque en la noche del 22 al 23 de julio de 2022. La unidad de crisis del Grupo Encevo se activó de inmediato y la situación actualmente está bajo control. Estamos en proceso de reunir todos los elementos necesarios para la comprensión y resolución completa del incidente”. Sin embargo, este ataque tiene un impacto negativo en el funcionamiento de los portales de clientes de Creos y Enovos”.
Aviso de seguridad publicado por la empresa.
Consecuencias del ataque
Creos y Enovos señalaron que el ciberataque no afectó el suministro de electricidad y gas y que el servicio está garantizado.
El 28 de julio, Encevo Group publicó un nuevo anuncio que confirma que los ciberdelincuentes han extraído datos de sus sistemas.
“Tras el anuncio del lunes 25 de julio y de acuerdo con nuestras obligaciones legales de información, confirmamos que las distintas entidades del Grupo Encevo han sido víctimas de un ciberataque. Durante este ataque, los hackerextrajeron una serie de datos de los sistemas informáticos o los hicieron inaccesibles”.
Por el momento, Encevo Group está investigando el incidente para determinar las personas potencialmente afectadas. La empresa pide a sus clientes que por el momento no se pongan en contacto con los servicios del grupo sobre este tema, habilitó un sitio web (https://www.encevo.eu/en/encevo-cyberattack/) que se actualizará a medida que evolucione la situación.
A principios de julio, la banda de ransomware BlackCat (también conocida como ALPHV) introdujo una búsqueda avanzada de contraseñas y documentos confidenciales robados a las víctimas.
Resecurity, una empresa estadounidense de ciberseguridad con sede en Los Ángeles que protege a las empresas de Fortune 500, ha detectado un aumento significativo en el valor de las solicitudes de rescate por parte de la notoria banda de ransomware Blackcat.
Pago de rescates
Según las víctimas recientemente comprometidas observadas con sede en la región nórdica (que el grupo aún no ha revelado), el monto a pagar supera los $2 millones.
Una de las tácticas utilizadas ofrece un descuento cercano al 50% a la víctima en caso de que esté dispuesta a pagar: varias demandas de rescate valoradas en 14 millones de dólares se redujeron a 7 millones de dólares. Sin embargo, esas cantidades siguen siendo complicadas para las empresas que enfrentan incidentes de ciberseguridad. La demanda de rescate más común practicada por BlackCat saltó a $2.5 millones y parece que su trayectoria solo crecerá.
El pago promedio de ransomware aumentó un 82% desde 2020 hasta un récord de $570 000 en la primera mitad de 2021 y luego, para 2022, casi se duplicó.
BlackCat ha estado operando desde al menos noviembre de 2021 y lanzó grandes ataques en enero para interrumpir OilTanking GmbH, una compañía de combustible alemana. Además, en febrero del 2022, atacó a la compañía de aviación Swissport. El grupo se dirige a empresas de alto perfil en industrias críticas que incluyen energía, instituciones financieras, servicios legales y tecnología.
Si bien BlackCat continúa innovando en la extorsión de datos, parece que nunca aprende de sus errores. El grupo continúa apuntando a empresas de alto perfil que probablemente los colocará en la mira de las agencias internacionales de aplicación de la ley.
Se cree que BlackCat es una operación de cambio de nombre de DarkSide. DarkSide cerró bajo la presión de las autoridades después de su ataque de ransomware muy publicitado en Colonial Pipeline.
Extorsión cuádruple
Blackcat es uno de los grupos clandestinos de ransomware como servicio (RaaS) de más rápido crecimiento que practica la llamada “extorsión cuádruple”. Es decir, presiona a las víctimas para que paguen, aprovechando el cifrado, el robo de datos, la denegación de servicio (DoS) y el acoso.
BlackCat también es conocido como “ALPHV”, o “AlphaVM” y “AphaV”, una familia de ransomware creada en el lenguaje de programación Rust. El líder del grupo con un alias idéntico en las comunicaciones en los foros de la Dark Web describió a Rust como una de las ventajas competitivas de su cifrado en comparación con Lockbit y Conti. A pesar de que Blackcat y Alpha tienen URLs completamente diferentes en la red TOR, los escenarios de secuencias de comandos utilizados en sus páginas son idénticos y probablemente desarrollados por los mismos actores.
El grupo es pionero en la búsqueda de datos robados indexados, lo que permite a los clientes y empleados de las empresas afectadas verificar los datos expuestos.
En una publicación reciente del 10 de julio de 2022 a las 15:35 p. m. en la Dark Web, “ALPHV” introdujo la búsqueda no solo por firmas de texto, sino también etiquetas compatibles para la búsqueda de contraseñas e información personal comprometida. Parece que algunos de los archivos robados todavía no están indexados, sin embargo, la mayoría ya está disponible para una navegación rápida. Se identificaron más de 2270 documentos indexados que contenían credenciales de acceso e información de contraseñas en texto plano, y más de 100,000 documentos. Estos contenían marcas confidenciales, incluidas comunicaciones de correo electrónico indexadas y archivos adjuntos confidenciales.