Las empresas de seguridad también pueden ser víctimas de ciberataques. La compañía de ciberseguridad Conduent (que genera ganancias por más de 4 mil millones de dólares al año) acaba de revelar que ha sido víctima de un ataque de ransomware que comprometió la mayor parte de sus operaciones en Europa en menos de ocho horas.
“Nuestras operaciones en Europa experimentaron una interrupción durante el viernes 29 de mayo de 2020. Se identificó una variante de ransomware en nuestros sistemas, que fue abordado por los equipos de seguridad”. La compañía ya ha restablecido sus servicios por completo.
Aunque Conduent no reveló el nombre de la variante de ransomware empleada en este ataque, el grupo de cibercrimen conocido como Maze ha publicado en dark web algunos archivos extraídos de los sistemas de la compañía atacada.
La compañía tampoco brindó detalles sobre el método de ataque empleado por los hackers, aunque los investigadores de Bad Packets afirman que Conduent ejecutó Citrix VPN sin actualizar por al menos ocho semanas. Cabe señalar que una vulnerabilidad de ejecución de código arbitrario en Citrix VPN ha sido explotada activamente durante los más recientes meses.
A inicios del 2020, Bad Packets detectó al menos 10 mil hosts vulnerables ejecutando el software vulnerable; poco después Citrix lanzó las actualizaciones, aunque muchas compañías demoraron en instalar los parches.
Respecto a la variante de malware empleada, los hackers de Maze usan un archivo binario de 32 bits empaquetado como un archivo EXE o DLL. Acorde a especialistas en ciberseguridad, este grupo de hackers se especializa en la evasión de mecanismos de seguridad como análisis dinámico, entre otros.
Aunque en el pasado los cibercriminales se caracterizaron por desplegar malware de forma masiva y aleatoria esperando que alguien cayera en la trampa, este enfoque ha cambiado. Ahora, las campañas de ciberataque se han convertido en procesos específicos para cada compañía atacada, aunque los métodos de ataque siguen siendo similares, incluyendo campañas de phishing, robo de credenciales de inicio de sesión y más.
Los investigadores creen que este ataque guarda múltiples similitudes con el incidente reportado en la compañía de TI Coignizant, también vinculado a Maze.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.