Un par de días después de que el FBI advirtiera que un grupo de ransomware llamado BlackByte había comprometido la infraestructura crítica en los EE. UU., el grupo pirateó servidores pertenecientes al equipo de fútbol americano San Francisco 49ers y retuvo algunos de los datos del equipo para pedir un rescate.
Los representantes de los medios de comunicación de la franquicia de la NFL confirmaron una brecha de seguridad en un comunicado enviado por correo electrónico luego de una publicación en el sitio web oscuro de BlackByte, en el que el grupo de piratas informáticos intenta avergonzar y asustar a las víctimas para que realicen grandes pagos a cambio de la promesa de no filtrar los datos y proporcionar una clave de descifrado que permita recuperar los datos. La publicación reciente puso a disposición para descargar un archivo de 379 MB llamado “Facturas 2020” que parecía mostrar cientos de estados de cuenta que los 49ers habían enviado a socios, incluidos AT&T, Pepsi y la ciudad de Santa Clara, donde los 49ers juegan en casa.
Tres meses ocupados
En un comunicado enviado por correo electrónico, los representantes de la franquicia dijeron que los investigadores aún estaban evaluando la infracción.
“Si bien la investigación está en curso, creemos que el incidente se limita a nuestra red de TI corporativa”, dijo el comunicado. “Hasta la fecha, no tenemos indicios de que este incidente involucre sistemas fuera de nuestra red corporativa, como los conectados a las operaciones del estadio Levi’s o a los poseedores de boletos”.
El equipo dijo que notificó a la policía y está trabajando con firmas de seguridad cibernética de terceros para realizar la investigación. “[W]Estamos trabajando diligentemente para restaurar los sistemas involucrados de la manera más rápida y segura posible”, dice el comunicado.
El viernes, el FBI y el Servicio Secreto emitieron un declaración conjunta advirtiendo que BlackByte, un grupo descubierto por primera vez el año pasado, ha estado en una ola de piratería durante los últimos tres meses y que ha violado con éxito una serie de redes sensibles.
“A partir de noviembre de 2021, el ransomware BlackByte había comprometido múltiples empresas estadounidenses y extranjeras, incluidas entidades en al menos tres sectores de infraestructura crítica de EE. UU. (instalaciones gubernamentales, finanzas y alimentos y agricultura)”, decía el aviso. “BlackByte es un grupo de ransomware como servicio (RaaS) que encripta archivos en sistemas host de Windows comprometidos, incluidos servidores físicos y virtuales”.
Conchas, bichos y bombas impresas
BlackByte apareció por primera vez en julio pasado, cuando la gente lo discutió en un computadora pitido foro. Una versión anterior del ransomware de BlackByte contenía una falla que exponía las claves de cifrado utilizadas para bloquear los datos de las víctimas. El error permitió a la firma de seguridad Trustwave lanzar un herramienta de descifrado que recuperó datos de forma gratuita. Una versión actualizada corrigió el error.
Un análisis publicado por la firma de seguridad Red Canary dijo que el grupo de piratería pudo piratear a algunas de sus víctimas al explotar ProxyShell, el nombre de una serie de vulnerabilidades en Microsoft Exchange Server. Las vulnerabilidades permiten a los piratas informáticos obtener la ejecución remota de código de autenticación previa. A partir de ahí, los malos actores podrían instalar un shell que canalice los comandos al servidor comprometido. Una gran cantidad de adversarios, con piratas informáticos respaldados por estados nacionales de Irán entre ellos, han explotado las vulnerabilidades. Microsoft los parcheó en marzo pasado.
Otra característica de BlackByte, dijo Red Canary, fue su uso de “bombardeo de impresión”. Esta función hizo que todas las impresoras conectadas a una red infectada imprimieran notas de rescate al principio de cada hora que decían: “Su [sic] HACKEADO por el equipo de BlackByte. Conéctenos para restaurar su sistema.”
El aviso conjunto emitido por el FBI y el Servicio Secreto no identificó a ninguna de las organizaciones que BlackByte ha violado. El aviso también proporcionó una lista de indicadores que los administradores y el personal de seguridad pueden usar para determinar si el grupo ha comprometido las redes. No es inusual que los piratas informáticos de ransomware permanezcan en redes comprometidas durante semanas mientras trabajan para infiltrarse. Los administradores deben usar la lista de indicadores lo antes posible para determinar si sus redes han sido pirateadas.