Morley Companies, una organización que brinda servicios comerciales a docenas de compañías Fortune 500, dijo esta semana que fue atacada con un ransomware el año pasado que provocó la filtración de información confidencial de más de 500,000 personas.
En un comunicado de prensa, la compañía dijo que el ataque de ransomware comenzó el 1 de agosto e hizo que sus datos «no estuvieran disponibles». A pesar de las solicitudes de comentarios, la compañía no explicó por qué esperó hasta ahora para notificar a las 521,046 personas afectadas, a algunas de las cuales se les filtró su número de Seguro Social en el ataque.
La compañía dijo que el ataque afectó la información de «empleados actuales, ex empleados y varios clientes». La información filtrada incluye nombres, direcciones, números de Seguro Social, fechas de nacimiento, números de identificación de clientes, información de diagnóstico y tratamiento médico e información de seguro médico.
Morley dijo que contrató a expertos en seguridad cibernética para responder a la situación, pero necesitó seis meses para recopilar la «información de contacto necesaria para notificar a las personas potencialmente afectadas».
Morley no dice que fue un ataque de ransomware en el aviso público, pero en las cartas enviadas a las víctimas brindan más información. En presentaciones ante la Oficina del Fiscal General de Maine, la compañía explica que 521,046 personas se vieron afectadas.
«Esa investigación reveló que un malware de tipo ransomware había impedido el acceso a algunos archivos de datos en nuestro sistema a partir del 1 de agosto de 2021, y hubo un acceso no autorizado a algunos archivos que contenían información personal. Luego trabajamos diligentemente para evitar un mayor acceso e identificar individuos afectados. Se requirió una programación especial y se tuvieron que construir procesos únicos para comenzar a analizar los datos «, dijo Morley.
Además: se descubren vulnerabilidades de firmware UEFI que afectan a Fujitsu, Intel y más
«La complejidad de los datos también requería procesos especiales para buscar e identificar información clave. Este proceso fue largo pero necesario para garantizar que se produjera la notificación adecuada. El 18 de enero de 2022, se confirmó que su información estaba involucrada».
La compañía dijo que brindaría servicios de monitoreo de crédito y protección contra el robo de identidad a los afectados. Se ha establecido un centro de llamadas para responder preguntas sobre el tema.
La empresa ofrece procesamiento administrativo, gestión de reuniones e incentivos, así como producción de exhibiciones y exhibiciones a sus clientes.
Chris Clements de Cerberus Sentinel dijo que es abrumadoramente probable que los atacantes hayan tenido acceso a los datos de Morley durante semanas o incluso meses antes de ejecutar su ransomware, bloqueando a Morley y a sus clientes sin acceso a sus datos.
«Durante este período de tiempo, las personas expuestas al riesgo de fraude o robo de identidad pueden haber sido atacadas activamente sin darse cuenta de su riesgo. Corresponde a cualquier organización que administre datos potencialmente confidenciales proporcionados por sus usuarios que no solo los defiendan lo mejor posible. pero que también tienen la capacidad de identificar rápidamente información potencialmente comprometida y notificar a los afectados en caso de que suceda lo peor. Esos procesos deben ser parte de cualquier plan de respuesta a incidentes y deben probarse regularmente», dijo Clements.
«La desafortunada realidad es que demasiadas organizaciones no cuentan con controles de auditoría efectivos para identificar cuándo se accede a los datos y por quién, o medios para detectar niveles inusualmente altos de acceso o exfiltración que pueden indicar que se está produciendo un ataque. Monitoreo o controles limitar la velocidad y el volumen de acceso a los datos es un control crítico que a menudo se pasa por alto al planificar la estrategia de seguridad cibernética Acciones como alertar si la cuenta de un usuario está accediendo a datos durante horas inusuales o fuera del horario laboral o extraer 200 registros en una hora cuando normalmente acceden a 20 puede ser fundamental para detectar y limitar de forma proactiva la exposición de una posible infracción».
