La subsidiaria Nokia revela violación de datos después del ataque de ransomware Conti

Imagen: Kabiur Rahman Riad

SAC Wireless, una subsidiaria de Nokia con sede en EE. UU., Reveló una violación de datos luego de un ataque de ransomware en el que los operadores de Conti pudieron violar con éxito su red, robar datos y cifrar sistemas.

La compañía Nokia, de propiedad total e independiente, con sede en Chicago, Illinois, trabaja con operadores de telecomunicaciones, propietarios de torres importantes y fabricantes de equipos originales (OEM) en los Estados Unidos.

SAC Wireless ayuda a los clientes a diseñar, construir y actualizar redes celulares, incluidas 5G, 4G LTE, celda pequeña y FirstNet.

Índice de contenidos()

    Ataque detectado después de sistemas cifrados Conti Ransomware

    La compañía descubrió que su red fue pirateada por operadores de ransomware Conti el 16 de junio, solo después de que distribuyeron sus cargas útiles y cifraron los sistemas inalámbricos SAC.

    La subsidiaria de Nokia descubrió que la información personal perteneciente a empleados actuales y anteriores (y empleados de sus planes de salud
    o beneficiarios) también fue robado durante el ataque de ransomware del 13 de agosto, luego de una investigación forense realizada con la ayuda de expertos externos en ciberseguridad.

    "El actor de amenazas, Conti, obtuvo acceso a los sistemas SAC, cargó los archivos en su almacenamiento en la nube y luego, el 16 de junio, distribuyó el ransomware para cifrar los archivos en los sistemas SAC". SAC dice en las cartas de notificación de violación de datos enviado a un número indeterminado de personas afectadas.

    Después de completar la investigación forense, la empresa cree que los archivos robados contienen las siguientes categorías de información personal: nombre, fecha de nacimiento, información de contacto (como domicilio, correo electrónico y teléfono), números de tarjeta, identidad (como licencia de conducir, pasaporte o tarjeta de identificación militar), número de seguro social, estado de ciudadanía, información de trabajo (como título, salario y evaluaciones), historial médico, información de seguro médico, números de placa, firmas digitales, certificados de matrimonio o nacimiento, información de declaración de impuestos y nombres de dependientes / beneficiarios.

    En respuesta al ataque de ransomware, SAC ha tomado varias medidas para prevenir futuras infracciones, que incluyen:

    • reglas de firewall modificadas,
    • conexiones VPN desconectadas,
    • políticas de geolocalización de acceso condicional activadas para restringir el acceso desde fuera de los Estados Unidos,
    • brindó capacitación adicional a los empleados,
    • Implementó herramientas adicionales de monitoreo de redes y endpoints,
    • autenticación multifactor ampliada,
    • e implementó herramientas adicionales de investigación de amenazas y detección y respuesta de endpoints.

    BleepingComputer se puso en contacto con SAC Wireless para obtener más información sobre el ataque hace dos semanas, el 12 de agosto, pero un portavoz se negó a confirmar que se trataba de ransomware o proporcionar más detalles.

    "SAC tiene conocimiento de un incidente y actualmente estamos investigando el asunto", dijo el vocero. "A medida que continuamos evaluando el incidente, estamos en contacto con las partes interesadas para recomendar la adopción de las salvaguardas y precauciones adecuadas".

    Conti afirma que robó 250 GB de archivos

    Si bien la compañía se negó a reconocer el ataque de ransomware y no proporcionó más información sobre el alcance del daño, la banda de ransomware Conti reveló en su sitio de filtración que había robado más de 250 GB de datos.

    Según una actualización reciente, el grupo de ransomware pronto difundirá todos los archivos robados en línea si la sucursal de Nokia no paga el rescate requerido.

    Conti ransomware es una operación privada de Ransomware-as-a-Service (RaaS) probablemente controlada por un grupo de ciberdelincuencia con sede en Rusia conocido como Mago Araña.

    Conti comparte parte de su código con el infame Ryuk Ransomware, cuyos canales de distribución TrickBot comenzaron a usarse después de que Ryuk redujo la actividad alrededor de julio de 2020.

    La pandilla hackeó recientemente al Ejecutivo de Servicios de Salud (HSE) y al Departamento de Salud (DoH) de Irlanda, exigiendo al primero que pague un rescate de 20 millones de dólares después de cifrar sus sistemas.

    El FBI también advirtió en mayo que los agentes de Conti intentaron piratear las redes de más de una docena de organizaciones estadounidenses de salud y primeros auxilios.

    A principios de este mes, un afiliado descontento filtró los materiales de capacitación de la pandilla, incluida información sobre uno de sus operadores, un manual sobre el uso de Cobalt Strike y mimikatz, así como numerosos documentos de ayuda supuestamente proporcionados a los afiliados durante la ejecución de los ataques de Cuentas.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir