Los 15 ciberataques más importantes en 2021

Una de las consecuencias más significativas del cambio en los modelos de negocio es el cambio de más personas al trabajo remoto después de 2020. Sin embargo, es necesario señalar que el aumento de la popularidad del trabajo remoto ha provocado un aumento significativo en la cantidad de ataques cibernéticos. De hecho, el aumento del trabajo en línea se ha convertido en un aumento de cuatro veces en los ataques cibernéticos. Por otro lado, la investigación muestra que, ante cualquier amenaza cibernética, las instituciones se ven afectadas más negativamente que en el pasado.

Los ataques cibernéticos, que fueron calificados como la quinta amenaza más peligrosa en 2020, mantuvieron su impulso en 2021. Para 2025, se prevé que se dupliquen los ataques cibernéticos en las redes de IoT. Esto significa que los costes de la filtración de datos solo en Estados Unidos alcanzarán los 10,5 billones de dólares.

Muchos asumen que la tecnología se vuelve más segura a medida que avanza, pero eso es una simplificación excesiva. Los ciberdelincuentes han seguido constantemente el ritmo de los avances en las tecnologías de ciberseguridad, y en ocasiones los han superado. Afortunadamente, los proveedores de servicios de seguridad administrados (MSSP) pueden ayudarte a mantener a raya los ataques de ransomware.

2021 ha traído consigo un número récord de ataques de ransomware. En este artículo, analizaremos los ataques de ransomware más importantes que se han visto en 2021 hasta ahora y cómo su organización puede evitar ser la próxima víctima cibernética.

¿Cuáles fueron los mayores ataques de ransomware de 2021?

El ransomware es un tipo específico de malware que impide que los usuarios accedan a dispositivos o cuentas hasta que paguen a los ciberdelincuentes detrás del ataque. Es una forma rentable de ciberataque, lo que explica por qué los líderes de la industria creen que los ataques de ransomware solo van a empeorar.

Los ataques de ransomware recientes más grandes, más dañinos y, en general, más significativos incluyen los siguientes.

Ataque de ransomware de DarkSide en el oleoducto Colonial

De todos los nuevos ataques de ransomware que ha visto 2021 hasta ahora, el ataque al Oleoducto Colonial (CP) ha atraído la mayor atención, ya que fue el ataque más grande jamás realizado contra la infraestructura petrolera de EE. UU.:

  • A fines de abril de 2021, un grupo de piratas informáticos (conocido como DarkSide ) cargó un código malicioso en los sistemas de CP utilizando una contraseña comprometida.
  • El 7 de mayo, el personal de CP encontró una nota de rescate y se cerró la tubería.
  • CP pagó a DarkSide 75 Bitcoin, aproximadamente $ 4.4 millones, para volver a sus sistemas. Según los informes, el FBI pudo recuperar $ 2.3 millones.

Los medios específicos por los cuales se comprometió la contraseña aún se desconocen. Se especula que pudo haber sido comprado en la dark web y que la falta de autenticación multifactor (MFA) facilitó el ataque. Un programa sólido de administración de acceso e identidad (IAM), que incluye MFA y otras protecciones, es una forma de defenderse contra esta amenaza.

Ataque de ransomware menor de DarkSide contra Toshiba

Forbes estima que el conglomerado japonés Toshiba vale 19.200 millones de dólares. Esta es probablemente la razón por la que DarkSide apuntó a otra empresa en 2021. En particular, el segmento europeo, Toshiba Tec Corp, fue el objetivo principal. El ataque ocurrió en mayo y se cree que fue facilitado por protocolos de trabajo remoto entonces nuevos e inseguros:

  • DarkSide ingresó a los sistemas de Toshiba y supuestamente robó hasta 740 gigabytes de información, incluidos pasaportes y otros documentos de identificación personal.
  • Sin embargo, Toshiba sostiene que en realidad se robó una cantidad insignificante de datos, ninguno de los cuales se ha filtrado, y no han pagado ningún rescate (todavía).

La historia de Toshiba ilustra lo importante que es mantener un programa de respuesta y gestión de incidentes. En muchos casos, rechazar las demandas de los piratas informáticos es el mejor curso de acción.

El ataque del ransomware REvil dirigido a ACER

Con operaciones en Xizhi, New Taipei City, Taiwán, Acer es líder mundial en electrónica avanzada; sin embargo, en marzo de 2021, sufrieron una de las demandas de ransomware más costosas registradas. Los detalles más críticos conocidos sobre el ataque incluyen:

  • El 18 de marzo, el grupo de ciberdelincuentes REvil publicó datos robados de Acer en un sitio que supuestamente opera, Happy Blog. Los datos robados incluían información personal sobre clientes de Acer, formularios de pago y otros documentos financieros críticos para el personal y la clientela.
  • REvil exigió un rescate de 214,151 XMR en criptomoneda, aproximadamente equivalente a $ 50 millones. Esta suma sería la más grande de la historia, si se recauda. Sin embargo, Acer aún no ha revelado si pagaron o no el rescate.

Si bien se desconocen en gran medida las causas específicas del ataque, los expertos en ciberseguridad sospechan que REvil accedió a Acer a través de una debilidad en Microsoft Exchange ProxyLogon. Este tipo de vulnerabilidades son comunes en el software de terceros; por lo tanto , la gestión de riesgos de terceros es fundamental.

Ataque posterior de ransomware de REvil a JBS Foods

Con sede en Greeley, Colorado, JBS Foods es uno de los procesadores de alimentos más grandes de Estados Unidos. El 30 de mayo de 2021, fueron víctimas de REvil, al igual que Acer antes que ellos. Poco se sabe sobre las formas específicas en que REvil comprometió los sistemas de JBS, aparte de que el ataque obligó a desconectar a casi todos sus sistemas. Si bien, según los informes, pudieron recuperar el acceso a sus sistemas a través de copias de seguridad, el Wall St. Journal informa que JBS pagó $ 11 millones a los atacantes.

JBS se negó a caracterizar el ataque como ransomware hasta el 9 de junio, aunque la Casa Blanca lo había caracterizado como tal el 1 de junio. Independientemente del origen, no se puede subestimar la gravedad de este ataque: la industria cárnica es fundamental para los proveedores de alimentos (sin mencionar a los consumidores) en los EE. UU., lo que puede haber jugado un papel en el pago final de JBS.

El ataque único de ransomware en T-Mobile

En agosto de 2021, un pirata informático identificado más tarde como John Binns atacó a T-Mobile y filtró información sobre más de 50 millones de clientes. Como el atacante informaría más tarde en una entrevista exclusiva con el Wall Street Journal , el ataque podría atribuirse casi por completo a la falta de seguridad de T-Mobile.

En particular, el ataque de Binns comenzó con una entrada de fuerza bruta, con la ayuda de un enrutador desprotegido que le dio acceso a más de 100 servidores. Binns, el cofundador de 21 años de la firma de inteligencia de delitos cibernéticos Hudson Rock, supuestamente tenía acceso sin restricciones a los datos de los clientes, que incluyen:

  • Números de Seguro Social y licencias de conducir
  • Nombres, direcciones y fechas de nacimiento

Binns afirma haber participado en este ataque para llamar la atención sobre su supuesto secuestro en 2019 por parte del FBI. Sin embargo, el Washington Post informó que un pirata informático potencialmente afiliado estaba tratando de vender la información robada en la web oscura por una suma de 6 bitcoins (aproximadamente $ 270,000). Un programa sólido de pruebas de penetración puede ayudar a prevenir amenazas como estas para tu organización.

Ataque de ransomware de Evil Corp. contra CNA Financial

CNA Financial Corporation es una de las aseguradoras comerciales más grandes de Estados Unidos. El 21 de marzo de 2021, los piratas informáticos descifraron sus sistemas y adquirieron con éxito uno de los rescates cibernéticos más grandes de la historia. Bloomberg informó que la CNA pagó un rescate de 40 millones de dólares.

CNA emitió un memorando el 9 de julio de 2021, abordando los detalles más críticos sobre el ataque, como la información principal objetivo (nombres, SSN, información de beneficios de salud). Se cree que los piratas informáticos utilizaron Phoenix CryptoLocker para violar los sistemas de CNA y cifrar archivos, haciéndolos imposibles de abrir o acceder hasta que se pagó el rescate. Esto ha llevado a los expertos a creer que el grupo conocido como Evil Corp. puede estar detrás de los ataques.

La prevención de ataques como estos requiere capacitación para identificar signos de ransomware antes de que una imagen reveladora en la pantalla de bienvenida confirme que hay un ataque presente. La formación y la educación son esenciales.

Escuelas Públicas de Búfalo

En 2020, los ataques al sector educativo aumentaron significativamente. Esa actividad no ha cesado. Si bien muchas escuelas se vieron afectadas por ransomware en 2021, el sistema de escuelas públicas de Buffalo en Nueva York atiende a 34,000 estudiantes y contiene información altamente confidencial que puede haberse filtrado.

El ataque de ransomware del 12 de marzo cerró todo el sistema escolar y canceló la instrucción remota y presencial durante una semana. El superintendente de las escuelas de Buffalo emitió un comunicado el 15 de marzo que decía que la escuela estaba «trabajando activamente con expertos en seguridad cibernética, así como con las fuerzas del orden público locales, estatales y federales para investigar completamente este ataque de seguridad cibernética». El sistema escolar reanudó sus operaciones el 22 de marzo.

Tecnologías Applus

A finales de marzo, Applus Technologies, que proporciona equipos de prueba a las estaciones estatales de inspección de vehículos, sufrió un ataque de ransomware que interrumpió sus sistemas durante semanas. El ataque desconectó los servicios de inspección en varios estados.

Solo en Massachusetts, donde se utiliza Applus en miles de sitios de inspección, el Registro de Vehículos Motorizados (RMV) del estado se vio obligado a extender indefinidamente los plazos para las etiquetas de inspección de vehículos. Un comunicado de Applus se refirió al servicio como «interrumpido temporalmente», pero semanas después, las inspecciones de vehículos continuaron posponiéndose.

La causa detrás del largo tiempo de inactividad no está clara porque en su declaración inicial, Applus dijo que detectó y detuvo un ataque de malware el 30 de marzo. No se han revelado más detalles sobre el ataque y el tipo de ransomware. El RMV de Massachusetts reanudó los servicios de calcomanías de inspección en la mayoría de los lugares el 17 de abril, mientras que los servicios en otros estados se reanudaron más tarde ese mes.

Computadora cuántica

Los operadores de ransomware REvil atacaron nuevamente el 20 de abril, esta vez contra el fabricante de computadoras portátiles de Apple, Quanta Computer. En un comunicado de su sitio web, Quanta confirmó que fue atacado por actores de amenazas, quienes supuestamente intentaron extorsionar tanto a Quanta como a Apple.

Las medidas de respuesta incluyeron la cooperación con expertos técnicos de varias empresas de seguridad externas. «Los ataques de Quanta Network en una pequeña cantidad de servidores han informado sobre condiciones anormales de la red detectadas a las agencias de aplicación de la ley gubernamentales y unidades de seguridad de la información relevantes y han mantenido un contacto cerrado. Las operaciones diarias de la compañía no se ven afectadas», dijo el comunicado de la compañía.

Ejecutivo del Servicio de Salud de Irlanda (HSE)

El 14 de mayo, la organización gubernamental que administra todos los servicios de salud pública en Irlanda cerró los sistemas de TI a raíz de un importante ataque de ransomware. Si bien los sistemas HSE se desconectaron por la fuerza solo como medida de precaución, y los Servicios Nacionales de Ambulancia funcionaban con normalidad, se interrumpió el acceso a muchos servicios de salud. Debido a que los sistemas no funcionaban como de costumbre, los pacientes experimentaron demoras y, en algunos casos, cancelaciones.

No fue hasta el 30 de junio que se restableció el registro en línea para las tarjetas médicas. Además, los centros de salud pedían a los pacientes que trajeran documentos en papel ya que los registros informáticos eran inaccesibles. A pesar de las interrupciones, la red de salud pública de Irlanda dijo que no pagaría el rescate y tampoco lo haría el gobierno.

Sin embargo, hubo evidencia de que se accedió a la información del paciente y del personal en el ataque cibernético y que se filtraron algunos de los datos. La organización cuenta con más de 100.000 empleados, además de todos los pacientes a los que atiende. Los datos personales filtrados pueden incluir nombres, direcciones, números de teléfono de contacto y direcciones de correo electrónico. La información médica podría incluir registros médicos, notas e historiales de tratamiento.

«Ha aparecido una pequeña cantidad de datos de HSE en la ‘web oscura’, una parte de Internet a la que solo se puede acceder mediante programas especiales. Se están tomando medidas para ayudar a las personas afectadas por esto», escribió HSE en un comunicado en su sitio web. sitio web.

AXA

Una semana después de que la aseguradora cibernética AXA France anunciara que cambió su póliza de seguro cibernético para detener la cobertura para los pagos de rescate, la división Asia Assistance de la compañía fue atacada por un ataque de ransomware.

En un comunicado del 18 de mayo, AXA dijo que la sucursal fue víctima de un ataque de ransomware dirigido, que afectó sus operaciones en Tailandia, Malasia, Hong Kong y Filipinas. «Como resultado, se ha accedido a ciertos datos procesados ​​por Inter Partners Asia (IPA) en Tailandia. En la actualidad, no hay evidencia de que se haya accedido a más datos más allá de IPA en Tailandia», dice el comunicado.

AXA dijo que un grupo de trabajo dedicado con expertos forenses externos estaba investigando la situación y se informó a los reguladores y socios comerciales. No se han publicado más detalles, como el tipo de ataque y cualquier impacto adicional.

CD Projekt Red

Al desarrollador de juegos polaco, CD Projekt Red (CDPR), famoso por desarrollar la serie de juegos Witcher y el (infame) Cyberpunk 2077, le robaron los documentos de la empresa y el código fuente y los retuvieron bajo rescate en febrero de 2021.

Los datos que circularon en línea del hackeo de febrero de CD Projekt Red contenían no solo el código fuente de juegos como Cyberpunk 2077 y una versión inacabada de The Witcher 3, sino también los datos personales de los empleados y contratistas.

CDPR se negó a pagar el rescate exigido a los piratas informáticos después de un ataque cibernético y se cree que los códigos fuente podrían venderse en una subasta en línea por $ 7 millones.

IKEA

Un ataque que insertó mensajes en cadenas de correo electrónico para ganarse la confianza de los empleados para entregar cargas maliciosas interrumpió las operaciones en el gigante minorista IKEA en noviembre.

El ataque fue revelado por el sitio de noticias de ciberseguridad Beeping Computer, que obtuvo acceso a un correo electrónico interno de la empresa. El correo electrónico advertía que se habían enviado mensajes al personal diseñado para imitar correos electrónicos reales, que aparecían como respuestas a cadenas de correo electrónico existentes.

Además, otros grupos afiliados a IKEA, como los proveedores, también se han visto envueltos en el ataque.

El ataque estaba vinculado a un servidor de Microsoft Exchange comprometido. Debido a que los correos electrónicos fraudulentos se envían desde servidores de correo electrónico internos, existe un mayor nivel de confianza en los mensajes.

Ataque al servidor de Microsoft Exchange

Una ola de ataques de ransomware demostró una falla en Microsoft Exchange en marzo.

La violación de Microsoft Exchange ocurrió cuando el grupo de piratería Hafnium, con sede en China, aprovechó una falla de día cero previamente desconocida en los sistemas de Microsoft para robar datos de las redes objetivo. En un ejemplo de un ataque bajo y lento, se estima que los piratas informáticos han tenido acceso a los sistemas desde finales de 2020.

The Wall Street Journal informa que decenas de millas de organizaciones se han visto afectadas, y una fuente sugiere que el número total de empresas afectadas podría ser superior a 250.000.

Más tarde se supo que la Autoridad Bancaria Europea se había visto comprometida en el ataque, y la BBC informó que desconectó todo su sistema de correo electrónico para evaluar cualquier daño potencial.

Agencia Escocesa de Protección Ambiental (SEPA)

La Agencia Escocesa de Protección Ambiental (SEPA) sufrió un ataque de ransomware lanzado por un grupo internacional de ciberdelincuencia altamente organizado. Técnicamente tuvo lugar en 2020 (específicamente en Nochebuena), pero no se informó hasta el próximo enero.

El ataque cibernético ha desconectado una serie de sistemas clave desde entonces, provocando una gran interrupción para la agencia gubernamental.

En un comunicado, SEPA confirmó que se habían robado alrededor de 1,2 GB de datos como resultado del ataque de ransomware.

Sin embargo, cabe señalar en este caso que SEPA recibió elogios por su rápido manejo del incidente y por su exhaustiva investigación tras su resolución.

Lecciones aprendidas

El tamaño, la industria y la posición global de una organización tienen poca influencia en la probabilidad y el impacto potencial de un ataque de ransomware. Como ilustran los mayores ataques de ransomware que se han visto hasta ahora en 2021, cualquier empresa puede ser víctima de un pirateo u otro esquema, y ​​luego debe pagar tarifas exorbitantes para restaurar sus funciones comerciales.

Para evitar que tu organización sufra este tipo de ataques, un asesor de seguridad externo puede ayudarte a crear y mantener una arquitectura de seguridad adecuada.