El equipo de la NFL San Francisco 49ers fue víctima de un ataque de ransomware que cifró archivos en su red de TI corporativa. El equipo confirmó el ataque el día de hoy después de que los operadores del ransomware BlackByte incluyeron al equipo como una de sus víctimas el sábado en un “sitio de filtración” de la web oscura que el grupo suele usar para avergonzar a las víctimas y obligarlas a pagar sus demandas de extorsión.
“Al enterarnos del incidente, iniciamos de inmediato una investigación y tomamos medidas para contener el incidente”, nos dijo el equipo hoy.
“Si bien la investigación está en curso, creemos que el incidente se limita a nuestra red de TI corporativa; hasta la fecha, no tenemos indicios de que este incidente involucre sistemas fuera de nuestra red corporativa, como los conectados a las operaciones del estadio Levi’s o a los poseedores de boletos”, agregó.
El equipo dijo que notificó a la policía y está trabajando con firmas de ciberseguridad de terceros para investigar el ataque.
“[Estamos] trabajando diligentemente para restaurar los sistemas involucrados de la manera más rápida y segura posible”, dijo el equipo.
FBI advierte sobre ataques BlackByte
En cuanto a los atacantes, la pandilla de ransomware BlackByte es una de las operaciones de ransomware más pequeñas activas en la actualidad, operando en un modelo RaaS (Ransomware-as-a-Service) en el que alquilan su ransomware a “afiliados” que luego llevan a cabo intrusiones en las organizaciones. e implementarlo para cifrar archivos.
Estos “afiliados” también roban archivos de las redes pirateadas, que la pandilla BlackByte usa como palanca en las negociaciones, amenazando a las víctimas con liberar los archivos robados en un “sitio de filtración” de la web oscura si no pagan sus demandas de extorsión.
Los primeros ataques de BlackByte se vieron en septiembre de 2021, y esta primera versión del ransomware no estaba muy bien codificada, lo que permitió a la firma de ciberseguridad Trustwave encontrar una debilidad y usarla para crear un descifrador gratuito .
En las semanas siguientes, el grupo BlackByte lanzó una segunda versión, sin el error de cifrado, que han estado utilizando en los ataques desde entonces.
Según una alerta de seguridad del FBI, desde noviembre de 2021, la agencia dijo que “el ransomware BlackByte había comprometido a múltiples empresas estadounidenses y extranjeras, incluidas entidades en al menos tres sectores de infraestructura crítica de EE. UU. (instalaciones gubernamentales, finanzas y alimentos y agricultura)”.
El FBI emitió su alerta de seguridad [ PDF ] el viernes, un día antes de que se hiciera público el ataque a la organización 49ers, lo que ha llevado a algunos expertos en seguridad a creer que el documento podría contener tácticas e indicadores de compromiso del ataque actual de los 49ers.