Olympus dijo en un breve comunicado el domingo que “actualmente está investigando un posible incidente de ciberseguridad” que afecta a su red informática de Europa, Oriente Medio y África.
“Al detectar una actividad sospechosa, movilizamos de inmediato un equipo de respuesta especializado que incluye expertos forenses, y actualmente estamos trabajando con la máxima prioridad para resolver este problema. Como parte de la investigación, hemos suspendido las transferencias de datos en los sistemas afectados y hemos informado a los socios externos relevantes ”, se lee en el comunicado.
Pero según una persona con conocimiento del incidente, Olympus se está recuperando de un ataque de ransomware que comenzó en la madrugada del 8 de septiembre. La persona compartió detalles del incidente antes de que Olympus reconociera el incidente el domingo.
Una nota de rescate dejada en las computadoras infectadas afirmaba ser del grupo de ransomware BlackMatter. “Su red está encriptada y no está operativa actualmente”, se lee. “Si paga, le proporcionaremos los programas para el descifrado”. La nota de rescate también incluía una dirección web a un sitio accesible solo a través del navegador Tor que se sabe que BlackMatter usa para comunicarse con sus víctimas.
Brett Callow, un experto en ransomware y analista de amenazas de Emsisoft, le dijo a TecnoFans que el sitio en la nota de rescate está asociado con el grupo BlackMatter.
BlackMatter es un grupo de ransomware como servicio que se fundó como sucesor de varios grupos de ransomware, incluido DarkSide, que recientemente se recuperó del mundo criminal después del ataque de ransomware de alto perfil en Colonial Pipeline, y REvil, que se quedó en silencio durante meses después del ataque de Kaseya inundaron cientos de empresas con ransomware. Ambos ataques llamaron la atención del gobierno de EE. UU., Que prometió tomar medidas si la infraestructura crítica se veía afectada nuevamente.
Grupos como BlackMatter alquilan el acceso a su infraestructura, que los afiliados utilizan para lanzar ataques, mientras que BlackMatter toma una parte de los rescates que se pagan. Emsisoft también enlaces técnicos encontrados y el código se superpone entre Darkside y BlackMatter.
Desde que surgió el grupo en junio, Emsisoft ha registrado más de 40 ataques de ransomware atribuidos a BlackMatter, pero es probable que el número total de víctimas sea significativamente mayor.
Los grupos de ransomware como BlackMatter generalmente roban datos de la red de una empresa antes de cifrarlos y luego amenazan con publicar los archivos en línea si no se paga el rescate para descifrarlos. Otro sitio asociado con BlackMatter, que el grupo usa para publicitar a sus víctimas y promociona datos robados, no tenía una entrada para Olympus en el momento de la publicación.
Olympus, con sede en Japón, fabrica tecnología de reprografía óptica y digital para las industrias médica y de las ciencias biológicas. Hasta hace poco, la empresa fabricaba cámaras digitales y otros dispositivos electrónicos hasta que vendió su división de cámaras en dificultades en enero.
Olympus dijo que estaba “trabajando actualmente para determinar el alcance del problema y continuará proporcionando actualizaciones a medida que haya nueva información disponible”.
Christian Pott, portavoz de Olympus, no respondió a correos electrónicos y mensajes de texto solicitando comentarios.
