La pandilla de piratas informáticos de habla rusa que comprometió a grupos del Reino Unido como British Airways y la BBC ha afirmado que ha desviado datos confidenciales de más instituciones, incluidas firmas de inversión con sede en EE. UU., fabricantes europeos y universidades de EE. UU.
El grupo que se autodenomina Clop, por la palabra rusa para chinches, agregó al grupo industrial alemán Heidelberg; Putnam Investments, con sede en Kansas, con 168.000 millones de dólares bajo gestión; y Leggett & Platt, un fabricante de 4.000 millones de dólares en Missouri, a una lista de empresas que afirma haber pirateado.
Otras ocho empresas llegaron esta semana a la lista de Clop en la dark web. Eso se suma a la noticia de la semana pasada de que grupos del Reino Unido, incluido Boots, propiedad de Walgreens, informaron a los empleados que sus datos se habían visto comprometidos. El problema, descubierto por primera vez el 31 de mayo, también se dirigía a los clientes de Zellis, un proveedor de nómina con sede en el Reino Unido que utiliza aproximadamente la mitad de las empresas del FTSE 100.
“Este es un incidente bastante desagradable y bastante grande”, dijo Ciaran Martin, presidente de CyberCX UK, quien ayudó a fundar el centro nacional de seguridad cibernética. “Estas empresas de buena fe estaban usando un servicio en el que confiaban”.
El grupo de piratas informáticos está presionando para establecer contacto con las empresas de la lista, según una publicación en el sitio web oscuro de Clop, ya que la pandilla exige un rescate que, según los expertos en seguridad cibernética y los negociadores, podría ascender a varios millones de dólares. Clop amenaza con divulgar información confidencial a menos que las empresas acepten pagar sumas «sustanciales».
Una persona que respondió desde la cuenta de correo electrónico de Clop se negó a comentar.
Es probable que se agreguen más nombres corporativos en los próximos días. Los investigadores de seguridad dijeron que Clop tardó dos semanas en revelar una lista completa de nombres en una campaña de piratería anterior. Los piratas informáticos de Clop se han diferenciado, adoptando métodos sofisticados que van más allá de los correos electrónicos con malware.
El último hack explotó una debilidad en una pieza «segura» de software de transferencia de archivos utilizada por cientos de empresas, destacando la vulnerabilidad de las empresas frente a sofisticados ataques cibernéticos que apuntan a fallas en su cadena de suministro de software.
Heidelberg, que fabrica máquinas para impresión masiva, dijo que estaba al tanto del ataque a su sistema, que «fue contrarrestado de manera rápida y efectiva y, según nuestro análisis, no condujo a ninguna violación de datos».
Putnam y Leggett no respondieron a las solicitudes de comentarios.
Los investigadores han dicho que Clop se ha convertido en un operador de ransomware con experiencia técnica y paciencia estratégica.
“Tienen un nivel de perspicacia operativa poco común”, dijo Jeremy Kennelly, que estudia delitos financieros en Mandiant, una empresa de seguridad cibernética propiedad de Google. Al mismo tiempo, dijo, sus tácticas muestran que Clop entiende cómo y dónde las empresas almacenan sus datos valiosos antes de robarlos.
Poco se sabe sobre Clop aparte de cómo operan. Kennelly y otros investigadores dicen que algunos de sus códigos y metadatos usan ruso, a menudo dejan de trabajar durante las vacaciones ortodoxas rusas y evitan atacar países de habla rusa.
En los últimos meses, los piratas informáticos de Clop obtuvieron acceso a datos personales al ingresar a MOVEit, un software de transferencia de archivos creado por ingenieros de Progress Software.
Luego esperaron su momento y pasaron meses investigando las defensas cibernéticas de las empresas objetivo que pagan a Progress para proteger sus datos antes de atacar a muchas empresas simultáneamente. Algunas pruebas muestran que Clop había realizado pruebas meses antes.
Progress Software, una empresa estadounidense valorada en 2700 millones de dólares, informó a los clientes el 31 de mayo que había descubierto la misma debilidad y emitió una solución de emergencia. Se negó a hacer más comentarios y dijo que estaba cooperando con las autoridades estadounidenses.
“La (brecha) más temprana que encontramos fue el 27 de mayo”, dijo Steven Adair, director ejecutivo de Veloxity, una empresa de seguridad cibernética con sede en EE. UU., que estaba realizando trabajos de primera respuesta en varios de sus clientes. “Pero puede haber otros que pueden haber sido explotados por Dios sabe cuánto tiempo”.
Esta es la tercera campaña conocida de Clop para cazar los datos protegidos de las organizaciones. Dos en el pasado generaron millones de dólares, estiman los investigadores, y los nombres y datos de quienes se negaron a pagar, desde Bombardier hasta la Universidad de Stanford, todavía están disponibles en su sitio de fugas en la web oscura.
El modus operandi bien establecido de Clop, apodado «hack-and-leak», supuestamente elimina los datos de quienes pagan, y el precio de la transacción varía según la empresa. La propiedad intelectual es una de las más valiosas, mientras que los datos personales a menudo se consideran los menos valiosos.
“Ese es un baile interesante”, dijo Don Smith, vicepresidente de Unidad contra amenazas de Secureworks, una empresa de seguridad cibernética. “Si de repente enumeran a una víctima y descargan sus datos, se han arrinconado. Ya no reciben dinero de esa víctima”.