Vía Bit Life Media
Durante los últimos días, una amenaza de ciberseguridad se cierne sobre Sony. Un presunto ciberataque (que la empresa no llegó a confirmar) ha afectado a la compañía japonesa, en el cual el grupo cibercriminal Ransomed había logrado sustraer una cantidad considerable de información. La amenaza desde el primer momento era clara: si no pagaban el rescate económico (no especificado) irían a buscar al mejor postor al que le pudieran interesar esos datos y que publicarían parte de ese material el 28 de septiembre si Sony no actuaba. Dicho y hecho, el grupo ya ha filtrado en sus sitios web datos de Sony extraídos en el ciberataque, por lo que se entiende que la compañía no ha cedido al chantaje. El plan de los atacantes era demostrar que tienen información valiosa para conseguir compradores.
Está siendo un caso singular, no solo por el modus operandi de los ciberdelincuentes, sino por la reducida información que se tiene al respecto. Un medio especializado australiano fue el primero en hacerse eco del caso al descubrir la amenaza publicada por los cibercriminales. Sony continúa sin emitir ningún tipo de comunicado.
“Conocer la noticia de este nuevo incidente por la prensa nunca son buenas noticias para los usuarios”, explica Rafa López, especialista en ciber incidentes y Responsable de preventa en Perception Point. “Recordemos que Sony tuvo en 2011 su mayor ciber incidente registrado hasta la fecha, esto impacta negativamente en la imagen corporativa de Sony, la cual debería de haber comunicado a sus usuarios la brecha de seguridad para, primero, conocer el alcance de la filtración y, segundo, que los usuarios puedan medidas preventivas como cambiar contraseñas, accesos, medios de pago, etc… No se está gestionando de la forma correcta”, apunta el experto.
En este caso, apunta López, se trataría de un claro caso de ransomware de doble extorsión, en el cual los atacantes no sólo cifran los sistemas y datos, que provoca que no estén disponibles para la empresas, sino que además extorsionan a la víctima amenazando con la publicación de datos confidenciales si no se accede al chantaje.
“El archivo publicado es una prueba real de que han conseguido acceder a información muy valiosa de la compañía”.
¿Dónde se han publicado los datos filtrados en el ciberataque de Sony?
El grupo Ransomed dispone de un canal de telegram (t.me/ransomed_channel), el cual “pone a disposición un enlace a la dark web”, señala López. “A través del enlace .onion de dark web, accedemos a su sitio donde exponen los datos de sus víctimas y sus logros”.
“Llama la atención la cantidad tan alta de víctimas que hay actualmente”, añade el especialista.
Esto es especialmente destacable porque se trata de un grupo de reciente creación. “Los reportes en su Dark Web llegan a primeros de septiembre. Se ha comprobado que son un grupo muy activo con 31 víctimas publicadas desde el uno de septiembre, las organizaciones incluyen diferentes sectores y países”, explica Rafa López, quien señala entre sus víctimas más importantes a la propia Sony, NTT Docomo o Trans Union.
Aún no hay información clara sobre el tipo de datos filtrados. El mensaje original emitido por el grupo cibercriminal en sus canales el pasado lunes, cuando comenzó la amenaza, incluía un archivo con una muestra de toda la filtración, que parecía tener menos de 6.000 archivos.
“Aún no se termina de conocer el alcance real”, señala López, “los datos expuestos hasta ahora analizados son datos confidenciales de los propios trabajadores de Sony como pueden ser; contraseñas de VPN, desarrollos de aplicaciones, mapas de red y configuraciones de los equipos internos”. Pero el experto apunta: “el archivo publicado es una prueba real de que han conseguido acceder a información muy valiosa de la compañía”.
Durante los próximos días se espera que Sony emita algún tipo de comunicado oficial, confirmando o explicando lo sucedido. Ya son muchos los usuarios preocupados sobre si sus datos pueden estar afectados por este incidente.
