Horas antes de que comience el Super Bowl, los San Francisco 49ers confirmaron que fueron atacados por el grupo de ransomware BlackByte.
En un comunicado a MarketingyPublicidad.esel equipo dijo que «recientemente se dio cuenta de un incidente de seguridad en la red» que causó una interrupción en su red de TI corporativa.
«Al enterarnos del incidente, iniciamos de inmediato una investigación y tomamos medidas para contener el incidente. Se contrataron empresas de seguridad cibernética de terceros para ayudar y se notificó a la policía», dijo un portavoz de los 49ers de San Francisco.
«Si bien la investigación está en curso, creemos que el incidente se limita a nuestra red de TI corporativa; hasta la fecha, no tenemos indicios de que este incidente involucre sistemas fuera de nuestra red corporativa, como los conectados a las operaciones del estadio Levi’s o a los poseedores de boletos». la investigación continúa, estamos trabajando diligentemente para restaurar los sistemas involucrados de la manera más rápida y segura posible».
Los San Francisco 49ers aparecieron en el sitio de filtración del grupo de ransomware el sábado por la noche. El equipo estuvo a pocas jugadas de llegar al Super Bowl hace dos semanas.
El ataque se produce solo un día después de que el FBI publicara una advertencia sobre el grupo de ransomware BlackByte.
«A partir de noviembre de 2021, BlackByte ransomware había comprometido múltiples empresas estadounidenses y extranjeras, incluidas entidades en al menos tres sectores de infraestructura crítica de EE. UU. (instalaciones gubernamentales, finanzas y alimentos y agricultura). BlackByte es un grupo de ransomware como servicio (RaaS) que encripta archivos en sistemas host de Windows comprometidos, incluidos servidores físicos y virtuales”, dijo el FBI.
«Algunas víctimas informaron que los actores utilizaron una vulnerabilidad conocida de Microsoft Exchange Server como un medio para obtener acceso a sus redes. Una vez dentro, los actores implementan herramientas para moverse lateralmente a través de la red y aumentar los privilegios antes de filtrar y cifrar archivos. En algunos casos, BlackByte ransomware los actores solo tienen archivos parcialmente encriptados».
El grupo surgió el año pasado, pero la empresa de ciberseguridad Trustwave pudo hacer que un descifrador BlackByte estuviera disponible para su descarga en GitHub en octubre.
La investigación realizada por la empresa mostró que la primera versión del ransomware BlackByte descargó y ejecutó la misma clave para cifrar archivos en AES, en lugar de claves únicas para cada sesión, como las que suelen emplear los operadores de ransomware más sofisticados. En noviembre se lanzó una segunda versión menos vulnerable del ransomware, como señaló el FBI.
El experto en ransomware de Emsisoft, Brett Callow, dijo que Blackbyte es una operación de ransomware como servicio (RaaS) y que las personas que lo usan para llevar a cabo ataques pueden o no tener su sede en el mismo país que el equipo principal.
«Al igual que muchos otros tipos de ransomware, Blackbyte no cifra las computadoras que usan los idiomas de Rusia y los países postsoviéticos», dijo Callow.
Un análisis de Red Canary del ransomware encontró que los operadores obtuvieron acceso inicial al explotar las vulnerabilidades de ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) presentes en el servidor de Microsoft Exchange de un cliente.
