Durante julio de 2023, se registraron diversos ataques cibernéticos de gran relevancia. Entre ellos, se destacaron las oleadas de filtraciones de datos que afectaron a entidades tanto del sector público como del privado, incluyendo organizaciones de atención médica, instituciones financieras y agencias gubernamentales.
Sin embargo, el incidente más destacado del mes fue protagonizado por los ataques MOVEit Transfer del ransomware Clop, los cuales afectaron a más de 20 millones de personas y a casi 400 empresas. Esta campaña llevada a cabo por un grupo de amenazas generó una seria preocupación debido a la magnitud de las violaciones de datos y las posibles consecuencias para las víctimas involucradas.
En esta entrada de blog, profundizaremos en algunos de los principales ataques cibernéticos que tuvieron lugar durante julio de 2023.
El grupo de hacktivistas iraní conocido como 'Cyber Avengers' se atribuyó la responsabilidad de piratear a BAZAN Group, el operador de refinería de petróleo más grande de Israel, lo que provocó que su sitio web fuera inaccesible desde la mayor parte del mundo. Alegaron haber filtrado capturas de pantalla supuestamente pertenecientes a los sistemas SCADA de BAZAN. Sin embargo, la empresa negó la autenticidad de estos materiales, calificándolos como "totalmente fabricados".
Te podría interesar leer: Resiliencia de Sistemas SCADA: Seguridad Industrial
El grupo hacktivista sugirió que lograron violar la seguridad de la empresa mediante la explotación de una vulnerabilidad en el firewall de Check Point. No obstante, Check Point negó que hubiera existido una vulnerabilidad previa que permitiera tal ataque.
Es importante destacar que 'Cyber Avengers' ya había asumido la responsabilidad de otros actos de sabotaje, como los incendios en las plantas petroquímicas de Haifa Bay en 2021 y los ataques a las estaciones de tren israelíes en 2020.
El 26 de julio, Activision tomó la decisión de desconectar los servidores de Call of Duty: Modern Warfare 2 debido a las preocupaciones de los jugadores sobre un gusano que se propagaba y afectaba la versión para PC del juego.
El malware, identificado como Trojan:Win32 Wacatac.B!ml, fue detectado en la página de discusión de Steam. Aunque los servidores fueron restaurados posteriormente, la amenaza del virus persistió. Los investigadores sospechan que los piratas informáticos utilizaron vestíbulos pirateados para propagar automáticamente el virus de un usuario a otro.
Este incidente no es el primero en el que el gigante de los juegos ha enfrentado problemas de seguridad cibernética. A principios de este año, fueron víctimas de un ataque de phishing por SMS que resultó en filtraciones de datos.
La OTAN está investigando un posible robo de datos en el Portal de Cooperación de Comunidades de Interés (COI) perpetrado por el grupo de piratería SiegedSec. Este grupo publicó una declaración en Telegram, afirmando haber obtenido cientos de documentos de la plataforma de intercambio de información no clasificada.
Te podría interesar leer: Descubriendo los canales en Telegram de la Dark Web
CloudSEK ha analizado los datos filtrados, que incluyen aproximadamente 8,000 filas de información confidencial que afectan a 31 países miembros de la OTAN. Los piratas informáticos, posiblemente hacktivistas, argumentan que el ataque es una forma de protesta contra las acciones de la OTAN en temas de derechos humanos y no está relacionado con el conflicto entre Rusia y Ucrania.
El notorio grupo de piratas informáticos de Corea del Norte, Lazarus, llevó a cabo ataques contra dos importantes entidades de criptomonedas, ocasionando pérdidas significativas. En un hackeo masivo a Alphapo, un procesador de pagos vinculado a sitios de apuestas y comercio electrónico, se sustrajeron más de $60 millones de billeteras activas que contenían criptomonedas como Ethereum, Bitcoin y Tron. Los atacantes fueron hábiles al convertir los fondos robados en monedas estables y Bitcoin utilizando Avalanche.
En otro incidente independiente, el proveedor de servicios de criptopagos de Estonia, CoinsPaid, también informó un ciberataque por un total de 37,2 millones de dólares, el cual también se atribuyó a Lazarus. La participación del grupo en ambos ataques demuestra su persistente ambición de acumular fondos robados, lo que se estima que asciende a más de $2 mil millones, resultado de diversos criptoataques de alto perfil en el pasado.
El 25 de julio de 2023, un actor de amenazas 'establecido' afirmó haber adquirido dos millones de registros de datos del Ministerio de Salud y Población de Egipto. Tanto SOCRadar como la firma de monitoreo de la web oscura, Falcon Feeds, informaron sobre esta acusación. Según los informes, la base de datos robada contiene una amplia información personal de los pacientes, incluyendo nombres, identificaciones, números nacionales, números de teléfono, direcciones, detalles de clasificación de procedimientos, diagnósticos y detalles de tratamientos.
Para respaldar su reclamo, el actor de la amenaza proporcionó una muestra del conjunto de datos. Además, se ha observado que este actor tiene un historial previo de vender bases de datos comprometidas, lo que sugiere que su principal motivación es obtener ganancias financieras.
Recientemente, el Tampa General Hospital reveló una brecha de seguridad en la que hackers accedieron a su red y robaron archivos que contenían información de salud protegida de hasta 1,2 millones de pacientes. La brecha fue detectada el 31 de mayo de 2023, lo que llevó a tomar medidas inmediatas para prevenir más accesos no autorizados.
Para investigar el incidente, se contrató a una empresa forense digital, la cual confirmó que personas no autorizadas tuvieron acceso a la red durante tres semanas en mayo de 2023. Aunque los datos robados incluían información diversa del paciente, los sistemas de seguridad del hospital lograron evitar con éxito el cifrado de los archivos durante el intento de ataque de ransomware.
DHL se ha convertido en la última compañía en ser víctima de la explotación del error MOVEit por parte del ransomware Clop. A pesar de los parches implementados por Progress Software, los ciberdelincuentes siguen encontrando objetivos no parcheados. Este ataque ha tenido un impacto significativo, afectando al menos a 383 organizaciones y filtrando información personal de 20,421,414 personas, según los investigadores de Emsisoft.
Entre las víctimas recientes, los clientes de Ernst & Young tuvieron información crítica expuesta, incluyendo informes financieros, documentos contables, escaneos de pasaportes, escaneos de visas, documentos de gestión de riesgos y activos, contratos, acuerdos, informes de crédito y saldos de cuentas.
Además, el contratista de servicios del gobierno de EE. UU., Maximus, también sufrió una violación de datos de MOVEit, con datos personales robados de entre 8 y 11 millones de personas. Maximus gestiona varios programas patrocinados por el gobierno, incluidos servicios de atención médica y préstamos para estudiantes en los EE. UU., Canadá, Australia y el Reino Unido. El grupo Clop afirma haber robado con éxito 169 GB de datos personales del servidor MOVEit Transfer de Maximus, pero aún no han revelado los datos robados.
Con la lista de empresas afectadas en aumento, el grupo de ransomware está aumentando la presión al crear sitios web claros dedicados a filtrar los datos robados de empresas específicas. PwC (PricewaterhouseCoopers) fue uno de los primeros en tener un sitio de fuga de este tipo durante las infracciones de MOVEit, lo que facilitó el acceso a los datos robados para un público más amplio.
El gigante de la salud de EE. UU., HCA Healthcare, ha revelado que aproximadamente 11 millones de datos de pacientes podrían haber sido robados y ofrecidos en venta en un foro de ciberdelincuencia. HCA opera 180 hospitales y 2300 sitios en más de una docena de estados de EE. UU., y también brinda servicios adicionales a los residentes del Reino Unido.
Un pirata informático afirmó tener 27 millones de registros de información el 4 de julio de 2023 y amenazó a HCA con satisfacer sus demandas antes del 10 de julio de 2023, sin especificar qué exigencias tenía. Los datos comprometidos incluyen nombres de pacientes, direcciones, direcciones de correo electrónico, números de teléfono, fechas de nacimiento y detalles de citas, pero no contienen información clínica o financiera.
Hasta el momento, el método utilizado para la violación de datos y la identidad del hacker aún son desconocidos. HCA no ha revelado cuándo descubrió el robo ni cómo se llevaron a cabo los datos.
La infame hacktivista Bjorka puso a la venta la información personal de casi 35 millones de titulares de pasaportes indonesios por $10,000 en la web oscura. Bjorka es conocida por sus críticas al gobierno indonesio y por exponer a los legisladores en las redes sociales. La hacktivista instó al gobierno a investigar una posible violación de la red de la Dirección General de Inmigración.
Los datos que estaban a la venta incluían nombres completos, fechas de nacimiento, sexo, números de pasaporte y fechas de validez de los pasaportes de los titulares. Un investigador de seguridad llamado Teguh Aprianto confirmó la validez de los datos, con una marca de tiempo que abarca desde 2009 hasta 2020.
Además, el Ministerio de Comunicaciones e Informática de Indonesia, Kominfo, también está llevando a cabo una investigación sobre los informes que indican el posible robo de información personal de 34.9 millones de indonesios.
La plataforma de criptomonedas Multichain ha suspendido sus servicios debido a un ciberataque que resultó en el robo de más de $125 millones en criptomonedas. Esta empresa se especializa en servicios entre cadenas, permitiendo a los usuarios transferir fondos a través de diferentes cadenas de bloques, y anteriormente había destacado su seguridad y velocidad.
Tras detectar que algunos de sus activos se habían trasladado a una dirección desconocida de forma anormal, Multichain llevó a cabo una investigación inmediata. Se instó a los usuarios a detener el uso de los servicios y revocar cualquier aprobación de contrato relacionada. Horas después, Multichain confirmó el ataque y detuvo todos los servicios, advirtiendo que las transacciones puente en curso quedarían atrapadas en las cadenas de origen.
Al día siguiente, la compañía publicó una disculpa en su sitio web, reconociendo haber sido pirateada y se comprometió a reembolsar personalmente todos los fondos perdidos de los usuarios. También aconsejaron a los usuarios reclamar sus reembolsos y revocar las aprobaciones de aplicaciones para Multichain.
Los expertos de varias empresas de seguridad de blockchain estiman las pérdidas en aproximadamente $126 millones, con fondos robados que incluyen monedas como USDT, ETH, Bitcoin y más.
Nickelodeon ha confirmado la autenticidad de una significativa fuga de datos, que asciende a alrededor de 500 GB de archivos, incluyendo programas de televisión, guiones y otros materiales inéditos. La brecha fue detectada por primera vez en enero de 2023 y se originó debido a un problema de autenticación en el portal de "experiencia y productos del consumidor" de Nickelodeon, lo que permitió un acceso no autorizado al contenido confidencial en el departamento de animación.
Los datos filtrados han sido republicados en varios lugares después de su aparición inicial en un servidor privado de Discord. Investigadores y usuarios han encontrado listas de programas de lanzamientos de animación de Nickelodeon que están circulando en línea. Es importante destacar que la fuga no involucra información de usuarios ni empleados.
Te podría interesar leer: Discord: El Terreno de Juego de los Ciberdelincuentes
Además, el 2 de julio de 2023, un usuario de Twitter conocido como GhostyTongue informó que un servidor privado de Discord compartió recientemente una URL para descargar una nueva filtración que supuestamente contenía el código fuente de todos los juegos flash de Nickelodeon. También, un usuario en 4chan afirmó tener información privilegiada sobre el hackeo, alegando que la base de datos interna de Nickelodeon estuvo comprometida durante más de un año, lo que podría afectar todas las producciones actuales.
A medida que avanza la investigación, Nickelodeon está tomando acciones para abordar la situación y salvaguardar su contenido confidencial. La compañía ha impuesto consecuencias estrictas a las personas que discuten o comparten los materiales filtrados.
La plataforma Poly Network fue objeto de un ataque cibernético que resultó en el robo de activos criptográficos valorados en millones de dólares. Poly Network es un protocolo de interoperabilidad descentralizado que facilita las transacciones entre cadenas de bloques de diferentes redes.
El ataque afectó a 57 criptoactivos en 10 cadenas de bloques. Después de compartir una hoja de cálculo de Google que mostraba los criptoactivos robados, Poly Network suspendió sus servicios y comenzó una investigación para evaluar el alcance total del incidente. Según la firma de seguridad BlockChain PeckShield, los atacantes se llevaron aproximadamente $42 mil millones en criptomonedas. Esto llevó a Poly Network a notificar a los intercambios centralizados y a las agencias de aplicación de la ley para identificar y bloquear transacciones fraudulentas.
El CEO de Binance, Changpeng Zhao, aseguró a los usuarios de Binance que sus cuentas no se vieron afectadas por el ataque. Por su parte, Poly Network espera que el atacante devuelva los activos robados para evitar posibles consecuencias legales.
Te podría interesar leer: XTI: Ciberseguridad Potenciada por Inteligencia de Amenazas
En Telegram, Anonymous Sudan hizo audaces afirmaciones sobre haber pirateado Microsoft y obtener una vasta base de datos con más de 30 millones de cuentas, correos electrónicos y contraseñas. El grupo expresó su intención de vender los datos por 50.000 dólares y proporcionó una "pequeña muestra" como prueba. Sin embargo, Microsoft rápidamente respondió al reclamo, indicando que su análisis mostraba que los datos no eran legítimos y que solo se trataba de una agregación. Este no es el primer incidente en el que Anonymous Sudan ha generado preocupación para Microsoft; anteriormente, el grupo fue considerado responsable de realizar ataques DDoS de capa 7 contra la empresa.