Ni siquiera el whisky está a salvo de los ciberatacantes. La firma Jack Daniels ha sido víctima de los delincuentes, quienes les han extraído datos confidenciales para publicarlos en el site de la Deep Web o web obscura que lleva por nombre "Happy Blog", o Blog feliz.
Mediante el uso del ransomware REvil,también conocido como Sodinokibi, una banda de ciberdelincuentes afirma que ha hackeado y sustraído nada más y nada menos que 1 TB de datos de Brown-Forman, la empresa que fabrica Jack Daniels, así como otras marcas tales como Woodford y Old Forester, entre otras.
El grupo de piratas informáticos dedicaron un mes a examinar los servicios de los usuarios, sus datos en la nube y a estudiar la estructura general de la empresa. La noticia la publicó Bleeping Computer, y la ha difundido en España Criptopasión.
Un portavoz de la empresa ha confirmado que el ataque ha existido, que se les ha pedido un rescate, pero que pudieron bloquear el hackeo: "Desgraciadamente, creemos que cierta información, incluidos datos de los empleados, se vio afectada”.
Además añaden que no conocen la cantidad de datos robados y que no se encuentran negociando de forma activa con los hackers. Lo importante es que consiguieron, afirman, evitar la encriptación y el bloqueo de datos.
No obstante, en Happy Blog, según publica Bleeping Computer: “REvil publicó varias capturas de pantalla con árboles de directorios, archivos con nombres que parecen respaldar sus afirmaciones y conversaciones internas entre algunos empleados. Las fotografías muestran documentos que datan de 2009 (…) También publicó capturas de pantalla de una base de datos de julio de 2020”.
El colmo: los hackers conceden entrevistas a Bloomberg
Los hackers están actuando a lo grande. Hablaron incluso con Bloomberg, "Todavía creemos en la prudencia de Brown-Forman y estamos esperando que continúen su discusión sobre una salida a esta situación". Juegan con una baza importante, tienen detalles sobre los clientes corporativos que podrían resultarle de mucha utilidad a su competencia. Al cierre de estas líneas se ignora si el pago solicitado ha sido en Bitcoin o en monero, la criptomoneda de código abierto creada en el mes de abril del 2014.
Según un informe del Incibe: "La propagación de este ransomware se ha producido a nivel mundial, siendo Asia la región más afectada".
Los principales vectores son:
- El envío de correos maliciosos, mediante campañas de spam.
- La publicidad maliciosa o malvertising, es decir código malicioso presente en los anuncios que aparecen durante la navegación web, tanto para ser ejecutado directamente en el equipo, como para redirigir a servidores donde se descargan otros ejecutables.
- Ataques de fuerza bruta sobre el protocolo Remote Desktop Protocol (RDP).
- Explotación de vulnerabilidad CVE-2019-2725 que afecta a sistemas Oracle (parche disponible desde el 26 de abril de 2019).