Acer: víctima de un ataque de ransomware

Acer ha pasado, muy a su pesar, a una lista que durante los últimos años no ha dejado de crecer, y de la que todos los integrantes desearían no formar parte. Y en el caso de la firma taiwanesa podemos decir, además, que ha entrado por la puerta grande. Hablo, claro, de la lista de empresas que han sido víctimas del ransomware, en un episodio que acaba de revelarse y que todavía no sabemos si se ha cerrado o, por el contrario, todavía sigue activo.

Y digo que la entrada de Acer se ha producido por la puerta grande porque, según podemos leer en Bleeping Computer, REvil, el grupo tras el secuestro, ha exigido un rescate de 50 millones de dólares, el mayor conocido hasta la fecha. Y si ya conoces la operativa habitual de REvil, sabrás que a diferencia de lo ocurrido en el ataque al SEPE, que se llevó a cabo con Ryuk (recordemos, el ransomware más activo en 2020) y que cifra pero no exfiltra,

Sodinokibi, la plataforma tecnológica empleada por REvil sí que exfiltra toda la información antes de exfiltrarla, haciendo que sus ataques sean mucho más peligrosos. El caso más cercano de REvil lo vivimos el año pasado, con el ataque a ADIF del que, por cierto, a diferencia del sufrido por el SEPE, todavía estamsos esperando alguna explicación por parte de la entidad pública.

En la nota de secuestro exigida a Acer por parte de REvil, los atacantes ofrecieron un 20% de descuento (lo que supondría un pago de 40 millones de dólares) si el pago se realizaba antes del miércoles pasado. A cambio, la banda de ransomware proporcionaría un descifrador, un informe de vulnerabilidades y la eliminación de los archivos robados. No es algo nuevo para REvil  lo de pedir cifras récord, la anterior, de 30 millones de dólares a Dairy Farm, también tiene su firma.

Archivos de Acer exfilrados por REvil. Imagen: Bleeping Computer.

La respuesta de Acer a las comunicaciones de Bleeping no confirma el ataque, si bien es cierto que REvil no tiene costumbre de mentir en este punto, y las imágenes de hojas de cálculo financieras, saldos bancarios y comunicaciones bancarias parecen legítimas, por lo que lo más probable es que lo divulgado por el medio sea cierto. Lo más cercano a un reconocimiento de la situación por parte de Acer es «Hay una investigación en curso y por el bien de la seguridad, no podemos comentar sobre los detalles«.

Aunque todavía no hay constancia de ello, algunos puntos señalan a las vulnerabilidades de Microsoft Exchange difundidas hace un par de semanas y que, como ya apuntamos en su momento, iban a ser muy explotadas en el interín entre la difusión de las mismas y que las instalaciones afectadas fueran parcheadas para cerrar ese agujero de seguridad. Ahora, de confirmarse que REvil las está empleando en ataques como el sufrido por Acer, tenemos una señal clara de la importancia de este agujero de seguridad y de que cada minuto sin parchear los servidores de Exchange puede tener un coste particularmente elevado.