Las operaciones europeas del gigante japonés de tecnología óptica Olympus permanecen fuera de línea hoy, luego de un aparente ataque de ransomware, que probablemente sea obra del sindicato BlackMatter.
Aunque al momento de escribir este artículo, Olympus solo había revelado que estaba investigando un incidente de seguridad cibernética, dijeron fuentes con conocimiento interno del incidente, que ocurrió el miércoles 8 de septiembre. TechCrunch que una nota de rescate dejada en las PC infectadas indicaba un ataque de BlackMatter; la veracidad de la nota fue confirmada por expertos en ransomware.
En un breve comunicado, la compañía dijo: “Al detectar una actividad sospechosa, movilizamos de inmediato un equipo de respuesta especializado que incluye expertos forenses, y actualmente estamos trabajando con la más alta prioridad para resolver este problema. Como parte de la investigación, hemos suspendido las transferencias de datos en los sistemas afectados y hemos informado a los socios externos relevantes.
“Actualmente estamos trabajando para determinar el alcance del problema y continuaremos brindando actualizaciones a medida que haya nueva información disponible. Nos disculpamos por cualquier inconveniente que esto haya causado.”
El grupo BlackMatter surgió por primera vez durante el verano de 2021, y analistas e investigadores lo vincularon de inmediato con el ahora desaparecido equipo DarkSide detrás del ataque Colonial Pipeline en mayo.
Posteriormente, el grupo afirmó que había trabajado con DarkSide en el pasado, pero que no son lo mismo. La investigación de los analistas de Sophos sugiere que también está influenciado por REvil, cuyo destino y estado sigue siendo algo incierto.
Al igual que muchas otras bandas de ransomware, opera una operación de ransomware como servicio (RaaS) y busca abiertamente agentes de acceso inicial (IAB) que puedan ayudarlo a penetrar en las redes corporativas; hasta ahora, se ha dirigido a empresas con ventas anuales de más de $ 100 millones.
También es explícito sobre no atacar organizaciones como hospitales u operadores de infraestructura nacional crítica (CNI), aunque como cualquier reclamo realizado por una banda de ransomware, esto debe tomarse con una pizca de sal.
CybSafe El CEO y fundador Oz Alashe comentó: “La creciente popularidad del ransomware como servicio significa que nunca ha sido más fácil para los delincuentes llevar a cabo un ciberataque, incluso contra gigantes tecnológicos.
“La práctica abre posibilidades para aquellos que quieren cometer ataques de ransomware pero que anteriormente no tenían las capacidades técnicas o el conocimiento para ejecutarlo. Esta subasta de servicios de grupos como BlackMatter aumenta el alcance de la amenaza y también el número de objetivos potenciales “.
Anthony Gilbert, líder de inteligencia de amenazas cibernéticas en Bridewell Consulting, un proveedor de servicios de seguridad, agregó: “Olympus seguirá trabajando en su proceso de respuesta a incidentes y análisis forense digital para comprender qué se vio comprometido y cómo. Pero el hecho de que la empresa haya tenido que cerrar las redes informáticas es preocupante, ya que cada minuto que la empresa no esté en funcionamiento afectará tanto a los ingresos como a la reputación.
“No está claro en esta etapa si la empresa ha pagado o va a pagar el rescate, y esto dependerá en gran medida del proceso de respuesta de la empresa y de los intereses de la organización y sus clientes”, dijo.
“El problema es que pagar el rescate no garantiza que los archivos se descifren con éxito, ni evita un segundo incidente similar o un chantaje al que la organización puede seguir siendo vulnerable”.