Un casco para el equipo de fútbol americano San Francisco 49ers.

Unos días después de que el FBI advirtiera que un grupo de ransomware llamado BlackByte había comprometido la infraestructura crítica en los EE. UU., el grupo pirateó los servidores del equipo de fútbol San Francisco 49ers y saqueó algunos de los datos del equipo para pedir un rescate.

Funcionarios de medios de la franquicia de la NFL confirmaron una brecha de seguridad en un comunicado enviado por correo electrónico luego de una publicación en el sitio web oscuro de BlackByte, en el que el grupo de piratería busca avergonzar y asustar a las víctimas para que no compartan los datos a cambio de una promesa de fuga, hacer grandes retiros Proporcionar un clave de descifrado que se puede utilizar para recuperar los datos. La publicación más reciente puso a disposición para su descarga un archivo de 379 MB llamado «facturas de 2020», que parecía mostrar cientos de estados de cuenta que los 49ers habían enviado a socios como AT&T, Pepsi y la ciudad de Santa Clara, donde los 49ers juegan en casa.

Tres meses ocupados

En un comunicado enviado por correo electrónico, los funcionarios de la franquicia dijeron que los investigadores aún estaban investigando la violación.

«Si bien la investigación está en curso, creemos que el incidente se limita a nuestra red corporativa de TI», dijo el comunicado. «Hasta la fecha, no tenemos indicios de que este incidente afecte a los sistemas fuera de nuestra red corporativa, como B. Los asociados a la operación del Levi’s Stadium o poseedores de entradas.”

El equipo dijo que ha notificado a la policía y está trabajando con firmas de seguridad cibernética de terceros para llevar a cabo la investigación. «[W] Estamos trabajando diligentemente para restaurar los sistemas involucrados de la manera más rápida y segura posible”, dice el comunicado.

El viernes, el FBI y el Servicio Secreto emitieron una declaración conjunta advirtiendo que BlackByte, un grupo descubierto por primera vez el año pasado, ha estado en una ola de piratería durante los últimos tres meses y que han lanzado con éxito una serie de redes sensibles que se han abierto paso.

«A partir de noviembre de 2021, el ransomware BlackByte había comprometido a varias empresas estadounidenses y extranjeras, incluidas empresas en al menos tres sectores críticos de infraestructura de EE. UU. (gobierno, finanzas y alimentos y agricultura)», decía el aviso. «BlackByte es un grupo de ransomware como servicio (RaaS) que encripta archivos en sistemas host de Windows comprometidos, incluidos servidores físicos y virtuales».

Proyectiles, bichos y bombas de presión.

BlackByte apareció por primera vez en julio pasado cuando se discutió en un foro de Bleeping Computer. Una versión anterior del ransomware de BlackByte contenía un error que exponía las claves de cifrado utilizadas para bloquear los datos de las víctimas. El error permitió a la empresa de seguridad Trustwave lanzar una herramienta de descifrado que recupera datos de forma gratuita. Una versión actualizada corrigió el error.

Un análisis publicado por la firma de seguridad Red Canary afirma que el grupo de piratas informáticos pudo piratear a algunas de sus víctimas al explotar ProxyShell, el nombre de una serie de vulnerabilidades en Microsoft Exchange Server. Las vulnerabilidades permiten a los piratas informáticos ejecutar código remoto antes de la autenticación. A partir de ahí, los atacantes podrían instalar un shell que reenvía comandos al servidor comprometido. Una variedad de adversarios, incluidos los piratas informáticos iraníes respaldados por el estado-nación, han explotado las vulnerabilidades. Microsoft los parcheó en marzo pasado.

Otra característica de BlackByte, según Red Canary, es el uso de «print bombing». Esta característica hizo que todas las impresoras conectadas a una red infectada emitieran notas de rescate con la etiqueta «Su [sic] HACKEADO por el equipo de BlackByte. Conéctenos para recuperar su sistema.”

La recomendación conjunta del FBI y el Servicio Secreto no identificó a ninguna de las organizaciones perjudicadas por BlackByte. El aviso también incluye una lista de indicadores que los administradores y el personal de seguridad pueden usar para determinar si el grupo ha comprometido las redes. No es raro que los hackers de ransomware permanezcan en redes comprometidas durante semanas para infiltrarse. Los administradores deben usar la lista de indicadores lo antes posible para determinar si sus redes han sido pirateadas.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí