capitana, una empresa de subcontratación de procesos comerciales internacionales con sede en Londres, fue hackeado recientemente. Los usuarios notaron eventos extraños en la empresa a principios de este mes., pero la confirmación apareció recién en abril 20, 2023. La banda de ransomware Black Basta publicó a Capita entre otras víctimas en su sitio web de filtración Onion.
¿Qué es capita??
capita es una empresa para subcontratación de procesos de negocio. Gestión de back office, financiero, asesoramiento en tesorería y gestión, Gestión de propiedades e infraestructuras: eso es todo.. Ser la mayor empresa de su sector en Reino Unido., tiene clientes de todo el mundo, incluyendo grandes empresas e incluso gobiernos. Según sus últimos informes, la empresa tiene más de £6,5 mil millones en contratos con organizaciones gubernamentales. A pesar de un éxito tan brillante, la empresa tenía su propia historia de fracasos – menores, pero recordando a los. Y parece que asistimos a otro caso en el que su nombre quedará destrozado. con una letra “r” extra.
Capitán Hackeado, Gigabytes de datos filtrados
A principios de abril 2023, Ejecutivos de Capita denunciaron el “incidente menor de seguridad”. Más tarde, ellos revelaron que este "incidente menor" involucró la implementación de ransomware. La pandilla exacta reveló el ataque exitoso al agregar a Capita a su lista. en su sitio web Darknet. Sin embargo, la empresa no tuvo prisa por identificar al intruso y enumerar las consecuencias. Hasta abril 20, cuando se publicó otra notificación oficial, la empresa rechazaba cualquier reclamación sobre filtración de datos. Sin embargo, sigue indicando sólo una filtración menor, al contrario de lo que se puede encontrar en las muestras de datos publicadas por los piratas informáticos..
Éste, sin embargo, contradice las otras pruebas del ataque. Black Basta no es una pandilla de “atropello y fuga”; aparte del cifrado, comúnmente roban una cierta cantidad de datos. De media, esta pandilla captura alrededor de 500 GB de datos de cada una de sus víctimas. Entonces, siguiendo métodos de doble extorsión, Piden un rescate adicional para borrar la información filtrada.. Si no se paga, la pandilla libera lo robado, haciéndolo accesible a todos. Otros delincuentes venden los datos en Darknet. - es decir. recibir sus ganancias a pesar de la ignorancia de la empresa.
Como habrás visto en la captura de pantalla anterior., la empresa rechaza tener problemas. Éste, sin embargo, contradice las cancelaciones de seminarios web y la reprogramación para más adelante. En entrevistas recientes con la BBC, Los funcionarios de la compañía afirmaron nuevamente que no se produjeron filtraciones de datos.. Mientras tanto, confirman el incumplimiento y señalan la fecha aproximada de su inicio – Marzo 22, 2023.
La brecha de capital duró semanas
Varias investigaciones independientes confirmaron que los piratas informáticos estaban dentro de la red semanas antes de que se descubriera el incidente.. Los analistas encontraron evidencia del uso de una muestra específica de QakBot – QBot BB20 – para acceso inicial. Este troyano cuentagotas es un invitado bastante común cuando se trata de ataques dirigidos a corporaciones.. Después de ingresar a la red, piratas informáticos no estaban inscribiendo su carga útil principal para el próximo 11 días. Más probablemente, esta brecha se utilizó para infectar tantas computadoras como fuera posible.
Teniendo en cuenta el plazo que llevó distribuir las cargas útiles, y la duración total del “incidente”, Las afirmaciones de “exfiltración limitada de datos de la pequeña proporción del servidor afectado” no parecen convincentes.. Actualmente, Black Basta escondió la Capita de su tablero, sin embargo, se puede acceder a través de un enlace directo. Consideran cambios en el calendario de reuniones oficiales, El problema afecta no sólo a los documentos internos, sino también a varios documentos relacionados con inversiones y relaciones públicas.. Es difícil predecir la reacción de los contratistas de la empresa cuando se descubra todo el impacto. pero eso no será agradable para ambas partes.
¿Qué es el grupo de ransomware Black Basta??
El grupo Black Basta es una banda de ransomware novato, que apareció en abril 2022. Algunas pruebas apuntan a que esta pandilla es un cambio de marca de una ceased Conti group. La clave es el hecho de que varios ex miembros de Conti continuaron sus carreras en el cibercrimen junto con ese grupo.. Otros miembros también parecen ser hackers experimentados.. Diseño demasiado fuerte o su software y técnicas utilizadas. decir claramente que ser atacado por Black Basta no es una broma. Algunos analistas dicen que está relacionado to the FIN7 (Carbanak) threat actor.
Con el tiempo, desarrollaron un patrón específico de ataque. Primero, ellos implementar el troyano QakBot mediante correo no deseado. Los delincuentes utilizan una muestra específica., acuñado BB20, controlado por ellos mismos. Más, este malware se conecta al servidor de comando y extrae la carga útil de la segunda etapa: Cobalt Strike Beacon. Las capacidades avanzadas de la baliza permiten a los piratas informáticos realizar movimientos laterales incluso antes de desplegar la carga útil final.. La etapa final es, obviamente, soltar ransomware en todos los sistemas infectados.