Este grupo de ciberdelincuentes ha inaugurado lo que ellos llaman el "Muro de la vergüenza", un sitio de filtraciones en la web oscura, donde publican enlaces a gigabytes de información que, según ellos, han exfiltrado de las organizaciones que han comprometido.
Las víctimas del ataque
Entre las primeras víctimas que han aparecido en este “Muro de la vergüenza” se incluyen empresas y entidades de distintas industrias, desde la administración pública hasta el sector farmacéutico y de manufactura. Algunas de las organizaciones afectadas por estos ciberataques incluyen a la ciudad de Pleasanton en California, EE.UU., donde los atacantes afirman haber robado 283 GB de información confidencial; la empresa farmacéutica malaya Duopharma Biotech, con un total de 25,7 GB de información exfiltrada; el fabricante de papel Satia, con sede en la India, del cual se han robado 7,1 GB, o la compañía de medicamentos Globe Pharmaceuticals de Bangladesh, que ha perdido 200 MB de datos.
Además, el gigante español de la moda Tendam también podría haber sido golpeado por este grupo. Si se confirma, sería un golpe devastador, ya que la empresa fue previamente afectada por otro ataque de ransomware, Medusa, a principios de este mes.
La explotación de vulnerabilidades en el software de monitoreo
Los investigadores han comenzado a especular que los ataques del grupo Valencia pueden estar vinculados a la explotación de vulnerabilidades críticas en el software de monitoreo de redes WhatsUp Gold, desarrollado por la empresa Progress. Estas vulnerabilidades fueron descubiertas y divulgadas de manera responsable en mayo, y el código de explotación de prueba de concepto fue publicado a finales de agosto.
Horas después de que este código se hiciera público, las empresas de seguridad comenzaron a reportar pruebas de que ciberdelincuentes estaban explotando activamente la falla. Al tomar el control de las cuentas de administrador de WhatsUp Gold, los atacantes pudieron acceder a las redes internas de varias organizaciones, abriendo la puerta a estos devastadores ataques de ransomware.
¿Qué es el ransomware y cómo afecta a las empresas?
El ransomware es un tipo de malware que cifra los datos de una organización o de un individuo, impidiendo el acceso a los mismos hasta que se pague un rescate a los ciberdelincuentes. Si las víctimas no pagan, los atacantes suelen amenazar con destruir los datos o, como en el caso del grupo Valencia, filtrar públicamente la información robada.
Valencia ha seguido esta estrategia de chantaje al comenzar a publicar los datos de las organizaciones que no han accedido a pagar el rescate. En su sitio web de filtraciones, el grupo describe a las organizaciones comprometidas con una sentencia cargada de ironía: "Aquí hay una lista de empresas que no se preocupan por la privacidad del cliente". Lo que en realidad quieren decir es que estas organizaciones se han negado a pagar el rescate tras haber sido víctimas de un ataque criminal.
El dilema de pagar o no pagar un rescate
Este tipo de ataques plantea un dilema ético y financiero para las empresas afectadas. Por un lado, pagar el rescate puede permitir a la organización recuperar el acceso a sus datos, lo que puede ser crucial para evitar el colapso de su operación o el daño irreparable a su reputación. Muchas empresas se ven acorraladas, enfrentando el riesgo de perder no solo su información, sino también los medios de vida de sus empleados, socios y clientes. En este sentido, pagar parece, a veces, la única opción viable para continuar operando.
Sin embargo, pagar un rescate también tiene consecuencias negativas. Cuando las empresas acceden a las demandas de los ciberdelincuentes, lo único que logran es incentivar más ataques en el futuro. Cada pago exitoso confirma a los atacantes que este tipo de delitos es rentable, lo que lleva a un aumento en la frecuencia y gravedad de los incidentes de ransomware. Además, no hay garantías de que, tras pagar el rescate, los delincuentes realmente devuelvan el acceso a los datos sin filtrar información confidencial.
Impacto de los ataques de ransomware en las organizaciones
El ransomware se ha convertido en una de las amenazas más graves en el panorama de la ciberseguridad. Su impacto es profundo y devastador para las organizaciones, independientemente del tamaño o el sector. Los efectos pueden ir mucho más allá del daño financiero. Las empresas atacadas experimentan pérdidas de productividad, interrupciones en los servicios, pérdida de confianza de los clientes y daño a la reputación.
En algunos casos, el tiempo que lleva recuperarse de un ataque puede ser más perjudicial que el propio rescate. Según informes, el tiempo medio de recuperación de un ataque de ransomware puede ser de varias semanas o incluso meses, especialmente si los atacantes logran comprometer las copias de seguridad de la empresa. Las organizaciones afectadas se enfrentan no solo a la necesidad de restaurar los sistemas afectados, sino también a posibles consecuencias legales y normativas si la filtración de datos personales vulnera las regulaciones de privacidad.
¿Qué pueden hacer las organizaciones?
Dada la gravedad de estos ataques, es vital que las organizaciones tomen medidas preventivas para protegerse. Implementar una estrategia de ciberseguridad proactiva es esencial para reducir el riesgo de ser víctimas de ransomware. Esto incluye mantener todos los sistemas y software actualizados, realizar copias de seguridad periódicas, y establecer protocolos estrictos de acceso a las redes corporativas.
Además, si una organización se convierte en víctima de un ataque de ransomware, es fundamental informar del incidente a las autoridades. Las fuerzas del orden pueden ayudar a investigar el ataque y, en algunos casos, proporcionar asistencia para mitigar los daños. Aunque pueda ser tentador mantener el incidente en secreto, no hacerlo puede dejar a la empresa vulnerable a más ataques en el futuro.
Ante este escenario, es crucial que las empresas se mantengan vigilantes y refuercen sus defensas para enfrentar esta amenaza en constante evolución. La colaboración internacional, la actualización constante de sistemas y la preparación ante incidentes serán claves para enfrentar este creciente problema.