Siguiendo la tendencia de los grupos de ransomware que afirman vender datos robados de forma privada en lugar de filtrarlos en línea, Rhysida vende datos que supuestamente pertenecen al Puerto de Seattle por 100 Bitcoins (aproximadamente 5,9 millones de dólares).
Algunos lectores recordarán la cobertura que hizo The Register del ataque a la Biblioteca Británica el año pasado, en la que el grupo Rhysida afirmó haber robado más de tres terabytes de datos y publicado documentos de muestra para “probar” lo que estaba haciendo.
Entre los datos que los perpetradores dicen que robaron del Puerto de Seattle se incluyen nombres, números de seguro social, fechas de nacimiento, domicilios, números de teléfono, altura y peso, color de cabello y ojos, firmas e imágenes escaneadas de pasaportes.
Ricida también afirma tener credenciales de inicio de sesión internas para los empleados de la Autoridad Portuaria y diversos datos personales sobre empleados y civiles.
La decisión del grupo de subastar los datos en lugar de filtrarlos está en cierto modo en la línea del grupo Meow, que recientemente ha cambiado su enfoque hacia la pura extorsión y la venta de datos robados.
RansomHub, actualmente el grupo de ransomware más dominante, también intentó esta táctica cuando atacó al gigante de las subastas Christie's, pero fue un cambio táctico único y no completo hacia los datos de la subasta en lugar de filtrarlos.
Sergei Shkevich, director del grupo de inteligencia de amenazas de Check Point Research, cuestionó esta estrategia y cuán rentable es para los ciberdelincuentes en una entrevista con The Register la semana pasada.
“En este momento, no tenemos idea de si se trata de una medida con fines de lucro en lugar de una medida de relaciones públicas o marketing”, dijo. “Esto probablemente se hizo para diferenciarse de otros grupos y presionar más a las víctimas para que pagaran una indemnización”.
“La información de las víctimas a menudo se vende, lo que no es muy rentable ni procesable para otros actores de amenazas, por lo que es cuestionable si es realmente rentable”.
Babor
El Puerto de Seattle, el municipio que gestiona el puerto y el aeropuerto de Seattle, confirmó en una actualización muy completa del incidente publicada en su sitio web el viernes que había sido víctima de un ataque de ransomware.
Al hacerlo, también respondió varias otras preguntas sobre la intrusión, incluida una rara mención directa de si se pagó un rescate.
“Sí, este incidente fue un ataque de ransomware por parte de una organización criminal conocida como Rhysida”, decía la actualización. “Los esfuerzos realizados por nuestro equipo para frustrar el ataque del 24 de agosto de 2024 parecen haber tenido éxito. No se ha producido ninguna nueva actividad maliciosa en los sistemas del puerto desde esa fecha. Seguimos vigilando el sistema”.
“El puerto se ha negado a pagar el rescate exigido y, como resultado, los perpetradores pueden responder publicando los datos que afirman haber robado en sitios web oscuros”.
Respondió Rhysida. Junto con extractos de documentos filtrados que contienen varios puntos de datos, también compartió lo que parece ser una captura de pantalla de un correo electrónico de la Autoridad Portuaria que ofrece un pago de 750.000 dólares por datos robados, lo que contradice las declaraciones de la Autoridad Portuaria.
El pago propuesto es significativamente menos valioso que el precio de 100 Bitcoin que Ricida ofreció públicamente al conjunto de datos, ya que el puerto confirmó que pudo frustrar el ataque y actualmente está restaurando el servicio. Es posible que no se haya incluido el pago por las herramientas de descifrado.
Puerto de Seattle: Tanto el puerto como el Aeropuerto Internacional Seattle-Tacoma (SEA) siguen siendo seguros para su uso y viaje, aunque algunos servicios siguen suspendidos y otros se han restablecido sólo como una solución temporal. Afirma que es posible.
“Nuestra investigación reveló que un actor no autorizado pudo obtener acceso a ciertas partes de nuestros sistemas informáticos y cifrar el acceso a algunos datos”, dijo la compañía.
“Hemos tomado medidas para evitar una mayor actividad, incluida la desconexión de nuestros sistemas de Internet, pero desafortunadamente, el cifrado y nuestras medidas de respuesta nos impiden utilizar la seguridad de equipaje, quioscos de facturación, emisión de billetes, Wi-Fi, pasajeros y algunos servicios portuarios. fueron interrumpidos, incluidos los carteles publicitarios, el sitio web del Puerto de Seattle, la aplicación flySEA y el estacionamiento reservado.
“Si bien nuestros equipos pudieron volver a poner en línea la mayoría de estos sistemas en una semana, los esfuerzos de recuperación para algunos sistemas, como sitios web externos y portales internos, aún están en curso”.
Aún no se ha determinado una fecha límite para la reanudación total del servicio. No importa cuánto tiempo lleve, restaurar su sistema de forma segura es su principal prioridad. Sin embargo, la Autoridad Portuaria se compromete a seguir proporcionando actualizaciones periódicas.
Este proceso incluye mejorar nuestra postura de seguridad, incluido el fortalecimiento de los controles y monitoreo existentes, y el fortalecimiento de los protocolos de autenticación y gestión de identidad. ®
https://www.theregister.com/2024/09/17/rhysida_port_of_seattle/
