De nuevo se ha producido un ataque de ransomware de enormes proporciones tras el caso Colonial; esta vez se trata de JBS, con sede en Brasil, la empacadora de carne más grande del mundo por ventas, que ha asegurado “avances significativos en la resolución del ataque cibernético”, que afectó a los servidores que respaldan sus operaciones en América del Norte y Australia.
El incidente cibernético fue identificado el domingo, tras el cual se adoptaron las medidas apropiadas para contener el ataque, dijo la firma. Todos los sistemas afectados se apagaron y se llamó a expertos externos para resolver la situación. Las autoridades policiales también fueron notificadas sobre el incidente.
Actualmente no hay evidencia que sugiera que los datos de algún proveedor, cliente o empleado se hayan visto comprometidos como resultado del incidente cibernético, asegura JBS. En un comunicado. La portavoz de la Casa Blanca, Karine Jean-Pierre, señaló que el ciberataque probablemente se originó en un grupo con sede en Rusia. El FBI apunta que el malware utilizado es REvil, que CrowdStrsike vincula con Pinchy Spider, “un grupo de cibercriminales que opera su plataforma de ransomware as a service fuera de Rusia. El grupo comercializa el acceso a su malware en la dark web a través de un programa de afiliados y mediante un número limitado de cuentas”, ha declarado a Computing Adam Meyers, vicepresidente senior de inteligencia en CrowdStrike.
“Los ataques contra JBS Foods ahora y hace unas semanas contra Colonial Pipeline muestran cómo este tipo de incidentes se están convirtiendo en algo habitual. En 2020, CrowdStrike observó más de 1.400 extorsiones y ataques relacionados con datos, la mayoría contra empresas relacionadas con la tecnología o la sanidad. No creemos que esta situación vaya a cambiar en el futuro más cercado, porque cuando crean una disrupción en este tipo de empresas consiguen lo que buscan: un rescate. De hecho, desde CrowdStrike prevemos que este tipo de ataques crezca a escala global en los próximos meses”, concluye Meyers.
Acerca de Pinchy Spider
Adam Meyer explica que “Pinchy Spider vende el acceso a su ransomware bajo un programa de asociación con un número limitado de cuentas, a menudo conocido como Ransomware-as-a-Service (RaaS). El actor criminal fue conocido por primera vez como el desarrollador del ransomware GandCrab, que estuvo activo entre enero 2018 y finales de mayo 2019”.
Las muestras de REvil se identificaron por primera vez a principios de abril de 2019, mientras que GandCrab permaneció activo. El análisis de CrowdStrike Intelligence identificó varias superposiciones en el código, así como tácticas, técnicas y procedimientos (TTPs), que confirman un vínculo entre las operaciones GandCrab y REvil, incluido el descifrado de cadenas RC4, la recopilación de información, las técnicas de comando y control (C2) y el cifrado de archivos. CrowdStrike Intelligence ha atribuido a Pinchy Spider a la operación de REvil, con Pinchy Spider formado por algunos individuos que operaban el ahora desaparecido GandCrab y nuevos individuos de una antigua red afiliada de GandCrab.
