El gigante informático Acer se vio afectado por un ataque de ransomware de 50 millones de dólares

El gigante de la electrónica Acer fue golpeado por un ataque de ransomware REvil en el que los actores de amenazas exigen el mayor rescate conocido hasta la fecha, $ 50,000,000.

Acer es un fabricante taiwanés de computadoras y productos electrónicos conocido por sus computadoras portátiles, de escritorio y monitores. Acer emplea aproximadamente a 7.000 empleados y ganó $ 7.8 mil millones en 2019.

Ayer, la banda de ransomware anunció en su sitio de filtración de datos que habían pirateado Acer y compartido algunas imágenes de archivos presuntamente robados como prueba.

Estas imágenes filtradas pertenecen a documentos que incluyen hojas de cálculo financieras, saldos bancarios y comunicaciones bancarias.

En respuesta a las consultas de BleepingComputer, Acer no proporcionó una respuesta clara sobre si sufrieron un ataque de ransomware REvil, diciendo en cambio que "informaron situaciones anómalas recientes" a la LEA y DPA correspondientes.

Puede leer su respuesta completa a continuación:

"Acer monitorea regularmente sus sistemas de TI y la mayoría de los ataques cibernéticos están bien defendidos. Empresas como nosotros estamos bajo ataques constantes y hemos informado de situaciones anómalas recientes observadas a las autoridades policiales y de protección de datos en varios países".

"Hemos mejorado continuamente nuestra infraestructura de ciberseguridad para proteger la continuidad del negocio y la integridad de nuestra información. Instamos a todas las empresas y organizaciones a que se adhieran a las mejores prácticas y disciplinas de ciberseguridad y estén atentos en caso de anomalías en la actividad de la red". - Acer.

En las solicitudes de más detalles, Acer declaró que "una investigación está en curso y, por razones de seguridad, no podemos comentar sobre los detalles".

Después de publicar nuestra historia, Valery Marchive de LegMagIT descubrió la muestra de ransomware REvil utilizada en el ataque de Acer, que exigía un enorme rescate de 50 millones de dólares.

Poco después, BleepingComputer encontró la muestra y puede confirmar que, según la nota de rescate y la conversación de la víctima con los atacantes, la muestra proviene del ciberataque a Acer.

En las conversaciones entre la víctima y REvil, que comenzaron el 14 de marzo, el representante de Acer mostró conmoción por la enorme solicitud de 50 millones de dólares.

Más adelante en el chat, el representante de REvil compartió un enlace a la página de fuga de datos de Acer, que era secreta en ese momento.

Los atacantes también ofrecieron un descuento del 20% si el pago se realizaba antes del miércoles pasado. A cambio, la banda de ransomware proporcionaría un descifrador, un informe de vulnerabilidad y la eliminación de archivos robados.

En un momento, la operación REvil le ofreció a Acer una advertencia críptica para que no repitiera el destino de SolarWind.

La demanda de 50 millones de REvil es el mayor rescate conocido hasta la fecha, con el rescate anterior de $ 30 millones del ciberataque de Dairy Farm, también de REvil.

Posible explotación de Microsoft Exchange

Vitali Kremez le dijo a BleepingComputer que Advanced Intel's Plataforma de ciberinteligencia de Andariel descubrió que la pandilla Revil recientemente apuntó a un servidor Microsoft Exchange en el dominio Acer.

"El avanzado sistema de ciberinteligencia Andariel de Intel ha descubierto que un afiliado particular de REvil ha perseguido el armamento de Microsoft Exchange", dijo Kremez a BleepingComputer.

Los creadores de amenazas detrás del ransomware DearCry ya han utilizado la vulnerabilidad ProxyLogon para distribuir su ransomware, pero son una operación más pequeña con menos víctimas.

Si REvil aprovecha las vulnerabilidades recientes de Microsoft Exchange para robar datos o encriptar dispositivos, sería la primera vez que una operación importante de ransomware de caza de juegos utiliza este vector de ataque.

Actualización 19/03/21 14:45: Actualizado con información de la muestra de ransomware Acer descubierta.