El Departamento de Energía de los Estados Unidos y otros organismos federales han sido víctimas de un reciente ciberataque perpetrado por un grupo ruso de ransomware.
El ataque, que consiste en un pirateo a escala mundial de un programa informático de transferencia de archivos muy utilizado por empresas y gobiernos, ha afectado significativamente a sectores específicos como los departamentos de vehículos de motor y las instituciones de enseñanza superior.
Jen Easterly, directora de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), explicó que este ataque es distinto de la campaña de pirateo de SolarWinds, vinculada anteriormente a agentes de inteligencia rusos apoyados por el Estado. A diferencia de la sigilosa y prolongada campaña de SolarWinds, el ataque actual es de menor duración, relativamente superficial y se detectó rápidamente.
Easterly mencionó que las últimas intrusiones cibernéticas no tenían como objetivo obtener un amplio acceso o recopilar datos específicos de gran valor. En cambio, el ataque es sobre todo oportunista y no supone una amenaza importante para la seguridad nacional o las redes del país.
Un alto funcionario de la CISA confirmó que ni el ejército estadounidense ni la comunidad de inteligencia se vieron afectados por el ataque. El portavoz del Departamento de Energía, Chad Smith, admitió que dos entidades de la agencia se vieron comprometidas, aunque se abstuvo de proporcionar más información.
Entre las víctimas del ciberataque se encuentran la Oficina de Vehículos Motorizados de Luisiana, el Departamento de Transporte de Oregón, el gobierno provincial de Nueva Escocia, British Airways, la British Broadcasting Corporation y la cadena de farmacias británica Boots. El software explotado, llamado MOVEit, es empleado por las empresas para intercambiar archivos de forma segura, que pueden contener información financiera y de seguros sensible.
Las autoridades de Luisiana advirtieron que las personas con permisos de conducir o registros de vehículos en el estado probablemente tenían sus datos personales expuestos, incluidos nombres, direcciones, números de la Seguridad Social y fechas de nacimiento. Aconsejaron a los residentes congelar su crédito para protegerse contra el robo de identidad.
El Departamento de Transporte de Oregón verificó que los piratas informáticos habían accedido a los datos personales y confidenciales de unos 3,5 millones de personas a las que el Estado había expedido documentos de identidad o permisos de conducir.
El grupo de ransomware Cl0p, responsable del pirateo, anunció en su sitio web oscuro que las víctimas tenían un plazo concreto para negociar un rescate o arriesgarse a que sus datos robados se publicaran en Internet. El grupo también afirmó que borraría cualquier dato robado a gobiernos, ciudades y departamentos de policía.
Te puede interesar: Es urgente reducir los riesgos cibernéticos del sistema financiero
El alto cargo de CISA informó de que un “pequeño número” de agencias federales se habían visto afectadas, pero no revelaron cuáles. También afirmaron que ninguna agencia federal había recibido demandas de extorsión y que Cl0p no había filtrado en Internet datos de las agencias federales afectadas.
Según el funcionario, las autoridades estadounidenses no tienen pruebas que indiquen una colaboración entre Cl0p y el gobierno ruso.
Progress Software, la empresa matriz del fabricante estadounidense de MOVEit, notificó a sus clientes la filtración el 31 de mayo y publicó un parche. No obstante, los investigadores en ciberseguridad sospechan que numerosas empresas podrían haber sufrido la filtración de datos sensibles para entonces.
Las autoridades federales han instado a las víctimas a denunciar los incidentes, aunque muchas no lo hacen.
Estados Unidos carece de una ley federal sobre violación de datos, y la divulgación de los hackeos varía según el estado. Algunas entidades, como las empresas que cotizan en bolsa, los proveedores de asistencia sanitaria y algunos proveedores de infraestructuras críticas, tienen obligaciones reglamentarias.
La empresa de ciberseguridad SecurityScorecard identificó 2.500 servidores MOVEit vulnerables en 790 organizaciones, incluidas 200 agencias gubernamentales. Sin embargo, la empresa no pudo proporcionar un desglose de esos organismos por países.