🧠 El blog está dedicado al tema de VPN y seguridad, privacidad de datos en Internet. Hablamos de tendencias actuales y noticias relacionadas con la protección.

El grupo BlackByte Ransomware atacó a los San Francisco 49ers antes del Super Bowl

10

Los San Francisco 49ers confirman que han sido atacados horas antes del inicio del Super Bowl. La banda de ransomware BlackByte se atribuye la responsabilidad.

En un comunicado oficial, el equipo dijo que "recientemente se dio cuenta de un incidente de seguridad en la red" que causó una interrupción en su red corporativa. El grupo robó los documentos financieros del equipo.

El portavoz de los 49ers de San Francisco dijo que después de enterarse del ataque cibernético, las empresas de seguridad cibernética de terceros se involucraron para contener el ataque, y las agencias de aplicación de la ley también fueron informadas.

«Si bien la investigación está en curso, creemos que el incidente se limita a nuestra red corporativa de TI, hasta la fecha, no tenemos indicios de que este incidente involucre sistemas fuera de nuestra red corporativa, como los conectados a las operaciones de Levi's Stadium de los poseedores de boletos. A medida que continúa la investigación, estamos trabajando diligentemente para restaurar los sistemas involucrados de la manera más rápida y segura posible", dijo el portavoz de los 49ers de San Francisco.

Después del incidente, los San Francisco 49ers también aparecieron en el sitio de la pandilla de ransomware BlackByte el domingo. El grupo publicó algunos documentos robados del equipo en la dark web en un archivo llamado ‘Facturas 2020'. La pandilla de ransomware no ha hecho ninguna demanda de ransomware y no ha especificado cuántos datos han sido robados.

Los 49ers de San Francisco aparecieron en el sitio oficial de filtraciones de BlackByte. (Imagen: ZDNet)

El ataque a los San Francisco 49ers se produjo un día después de la advertencia del FBI sobre la banda de ransomware BlackByte. Según la advertencia del FBI:

«A partir de noviembre de 2021, el ransomware BlackByte había comprometido múltiples empresas estadounidenses y extranjeras, incluidas entidades en al menos tres sectores de infraestructura crítica de EE. UU. (instalaciones gubernamentales, finanzas y alimentos y agricultura). BlackByte es un grupo de ransomware como servicio (RaaS) que cifra archivos en sistemas host de Windows comprometidos, incluidos servidores físicos y virtuales».

Según el informe del FBI, los actores de amenazas utilizan  las vulnerabilidades de Microsoft Exchange para acceder a las redes. Una vez que tienen acceso a la red, los piratas informáticos pueden implementar varias herramientas para moverse por la red para " escalar privilegios antes de cifrar archivos ". En algunos incidentes, el grupo de ransomware BlackByte solo tiene archivos parcialmente cifrados.

Un informe de Red Canary mostró que el ransomware BlackByte obtuvo acceso a la red al explotar las vulnerabilidades de ProxyShell en el servidor de Microsoft Exchange de un cliente. Estas vulnerabilidades incluyen CVE-2021-34473, CVE-2021-34523, CVE-2021-31207.

El grupo de ransomware BlackByte surgió el año pasado con objetivos de alto perfil en todo Estados Unidos. La investigación realizada por Trustwave mostró que el ransomware BlackByte usa la misma clave para cifrar archivos robados en AES. En lugar de usar una clave única para cada sesión, el grupo usa la misma clave. Trustwave también subió un descifrador BlackByte en GitHub.

Según el FBI, la segunda versión del ransomware se lanzó en noviembre. Brett Callow, el experto en ransomware de Emsisoft, dijo que BlackByte es una operación de Ransomware-as-a-service (RaaS), y los actores de amenazas que lo usan para llevar a cabo ataques cibernéticos no necesariamente se encuentran en el mismo país.

Callow dijo que, al igual que otros tipos de ransomware, " BlackByte no cifra las computadoras que usan el idioma de Rusia y los países postsoviéticos ". Dijo que eso no significa que los atacantes detrás de este incidente estén en Rusia. » Cualquiera puede usar el malware para lanzar ataques «, dice Callow.

Los grupos de ransomware han causado estragos en los últimos meses con objetivos de alto perfil. Algunos casos de alto perfil de este mes incluyen el ataque de Vodafone Portugal y el ciberataque en los puertos belgas y holandeses.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More