La empresa de servicios integrados R.R. Donnelly confirmó una "intrusión en los sistemas" que se produjo a finales de diciembre y que aún se está investigando.
La empresa de servicios integrados R.R.Donnelley & Sons (RRD), incluida en la lista Fortune 500, es la última víctima del colectivo de piratas informáticos conocido como Conti Group. Según la información publicada, RRD fue víctima de una brecha en la red que dio lugar al robo de datos en diciembre.
RRD, una empresa global con 33.000 empleados, reveló los detalles del incidente en su formulario 8-K de la Comisión de Valores de Estados Unidos (SEC), presentado el 27 de diciembre. La empresa dijo que "había identificado recientemente una intrusión en los sistemas de su entorno técnico", según la presentación.
"La empresa aplicó rápidamente una serie de medidas de contención para hacer frente a esta situación, incluida la activación de sus protocolos de respuesta a incidentes, el cierre de sus servidores y sistemas y el inicio de una investigación forense", declaró la empresa. También aisló una parte de su entorno técnico para tratar de contener la intrusión, dijo la empresa.
RRD no nombró al autor del ataque en la presentación. Sin embargo, un informe publicado en BleepingComputing afirma que fue Conti, citando una publicación en línea que el grupo de ciberdelincuentes hizo reclamando la responsabilidad y filtrando 2,5 GB de datos supuestamente robados de la empresa el 25 de enero.
En un primer momento, RRD dijo que no tenía conocimiento de que se hubieran robado datos en la presentación; sin embargo, la empresa revisó esta posición y confirmó el miércoles en una presentación separada ante la SEC que se habían robado datos en el ataque, según el informe de BleepingComputer.
RRD está trabajando con un experto en ciberseguridad y con las fuerzas del orden en una investigación continua sobre el incidente, según el informe de la SEC de diciembre. La empresa no respondió inmediatamente a un correo electrónico en el que se solicitaba más información sobre el ataque enviado por Threatpost el jueves.
Conti sube la apuesta
La semana pasada, REvil fue el último en ser eliminado en una redada masiva de sus operaciones y activos por parte de las autoridades rusas.
Sin embargo, Conti, con sede en Rusia y calificado de "despiadado" por los investigadores de Palo Alto Networks, no sólo sigue activo, sino que continúa desarrollando sus habilidades y atacando a víctimas de alto perfil.
El grupo ha desarrollado recientemente nuevas tácticas para destruir las copias de seguridad, especialmente el software de recuperación Veeam, lo que puede dejar a las víctimas sin otra opción que pagar los rescates, a menudo exorbitantes, que piden los delincuentes.
Conti también ha sido el grupo profesional de ransomware que ha aprovechado al máximo la peligrosa vulnerabilidad Log4Shell, descubierta a finales del año pasado, y ha creado una cadena de ataque integral para sacar el máximo provecho del fallo.
La evolución del ransomware
De hecho, el ataque de RRD y el hecho de que Conti agudice sus armas muestra una evolución en la dirección que los responsables del ransomware probablemente seguirán tomando en 2022, después de que los volúmenes de ransomware alcanzaran máximos históricos el año pasado.
Las posibilidades de que las víctimas recuperen los datos de las copias de seguridad son cada vez menores, lo que significa que las empresas tienen que estar aún más preparadas para los ataques antes de que se produzcan, observó un profesional de la seguridad.
"El ransomware ya no se limita a cifrar los datos", afirma Tim Erlin, vicepresidente de estrategia de la empresa de ciberseguridad Tripwire, en un correo electrónico enviado a Threatpost. "Ahora se trata de exfiltrar tus datos y mantenerlos como rehenes. La estrategia de tomar una copia de los datos para pedir un rescate significa que el simple hecho de tener copias de seguridad desde las que se puede restaurar no es realmente una estrategia de ransomware suficiente."
Dado que a menudo las organizaciones tardan en reunir lo que realmente ha ocurrido en un ataque de ransomware -y el verdadero impacto no se percibe hasta más tarde-, necesitan adoptar un enfoque diferente al de una mera posición de respuesta y remediación, dijo.
"Un programa riguroso de detección de cambios y gestión de la configuración no sólo puede ayudar a prevenir las infracciones, sino que también puede ayudar a las organizaciones a averiguar lo que ha ocurrido más rápidamente", dijo Erlin.
Fuente: https://threatpost.com/fortune-500-firm-ransomware/177787/