Cuando los datos robados se publican online

Los ciberdelincuentes intentan infligir el máximo daño a la reputación enviando enlaces a los datos que robaron a través de las vulnerabilidades de Accellion FTA.

El año pasado, saltó a la luz información sobre ataques a empresas que utilizaban versiones obsoletas de Accellion File Transfer Appliance (FTA). Algunos ciberdelincuentes utilizaron las vulnerabilidades de Accellion FTA para conseguir información confidencial y amenazar a las víctimas con su publicación si no pagaban el rescate. Por desgracia, hoy tenemos que informar que cumplieron su amenaza.

¿Cuál es la vulnerabilidad?

Accellion FTA es un dispositivo de red que las empresas implementan para la entrega rápida y sencilla de archivos pesados. Tras su vigésimo aniversario, la solución se retirará este año y, de hecho, sus desarrolladores llevan pidiendo durante mucho tiempo una migración a productos más modernos.

En diciembre del 2020, el descubrimiento de dos vulnerabilidades (CVE-2021-27101 y CVE-2021-27102) en la solución permitió que los atacantes tuvieran acceso a los archivos cargados a los dispositivos FTA. Se cerraron estas vulnerabilidades, pero en enero del 2021 se descubrieron dos más (CVE-2021-27103 y CVE-2021-27104), que también recibieron pronto sus parches.

No obstante, los intrusos lograron robar datos de varios usuarios de Accellion FTA y las filtraciones acabaron apareciendo en comunicados de medios famosos. Al parecer, no todas las víctimas pagaron el rescate, por lo que los atacantes cumplieron su amenaza de compartir los datos que habían robado.

Cómo publican los datos los ciberdelincuentes

Recientemente detectamos correos electrónicos masivos con el objetivo de comprometer la reputación de sus víctimas a los ojos de los empleados, clientes y socios, además de la competencia. Se desconoce a ciencia cierta la magnitud de estos envíos y el origen de las direcciones, pero, al parecer, los ciberdelincuentes trataban de alcanzar la mayor audiencia posible.

Correo electrónico de los atacantes a los empleados, clientes, socios y a la competencia.

Los mensajes instaban a los destinatarios a utilizar el navegador Tor para visitar una página .onion y afirmaban que el sitio web contaba con miles de visitas al día. Los supuestos visitantes incluían todo tipo de ciberdelincuentes y periodistas que podrían causar un daño todavía mayor a la infraestructura y reputación de una empresa. Cabe destacar que el sitio pertenece al grupo CL0P especializado en ransomware, aunque en los ataques que se llevaron a cabo a través de las vulnerabilidades de Accellion FTA los archivos no acabaron cifrados. Al parecer, los ciberdelincuentes se aprovecharon de esta práctica plataforma.

Por supuesto, el objetivo es intimidar a otras víctimas. Por cierto, tanto el correo electrónico como el sitio web contienen información para poder contactar con los atacantes y pedir que eliminen los archivos publicados, aunque esto no tiene mucho sentido si la información ya se ha publicado.

Cabe destacar que el sitio muestra un anuncio que ofrece lecciones para los administradores sobre cómo cerrar las vulnerabilidades a través de las cuales se robaron los datos, ¡por la cantidad de 250000 dólares en bitcoins!

Oferta para ayudar a las posibles víctimas a evitar el triste destino.

Dudamos que alguien caiga. Para empezar, los desarrolladores ya lanzaron versiones actualizadas de Accellion FTA y, además, pedir ayuda equivale a admitir que no se puede cerrar la vulnerabilidad y que sigue siendo explotable.

Cómo proteger tu empresa contra estos ataques

En primer lugar, actualiza Accellion FTA o, mejor aún, deja de usar esta solución (incluso sus desarrolladores lo recomiendan).

En segundo lugar, actualiza todos los productos de software y servicios que tengan acceso a Internet. Es importante hacer esto de inmediato, pero también asegurarte de actualizar los productos de forma constante y oportuna.

Asimismo, protege todos tus dispositivos (ya sea una estación de trabajo, servidor o soluciones de hardware o software) con un producto de seguridad que pueda detectar intentos de explotar vulnerabilidades, incluidas las desconocidas.

Si ya has caído en las redes de los extorsionistas, no te recomendamos pagar. Eugene Kaspersky te explica el por qué en esta publicación de nuestro blog.

Consejos