A través de un comunicado, la empresa Acer reveló que sus sistemas informáticos se han visto afectados por una infección del ransomware REvil. Los primeros reportes aseguran que los actores de amenazas exigen un pago de 50 millones de dólares a cambio de restablecer los sistemas a la normalidad.
Como prueba de este ataque, los delincuentes compartieron algunas capturas de pantalla de los sistemas comprometidos en su plataforma alojada en dark web. Las imágenes publicadas incluyen hojas de cálculo, saldos bancarios y evidencia de comunicación interna.
En su mensaje, la compañía menciona que están abordando el incidente, además de implementar medidas para prevenir ataques posteriores: «Estamos monitoreando nuestros sistemas de TI en busca de cualquier nuevo indicio de conducta anómala. La mejora de nuestros mecanismos de seguridad es continua y queremos asegurarle a nuestros clientes y empleados que este problema no pondrá en riesgo su información sensible».
Poco después de que Acer confirmara la infección, la investigadora Valery Marchive de LegMagIT reveló que el ataque fue llevado a cabo con la peligrosa variante de ransomware REvil. Además, una posterior filtración de la nota de rescate recibida por Acer confirmó la información presentada por Marchive.
Fuentes cercanas a la compañía mencionan que las negociaciones entre los delincuentes y Acer habrían comenzado el 14 de marzo, aunque desde un inicio los negociadores se mostraron sorprendidos por la demanda de 50 millones de dólares. Los atacantes también habrían ofrecido un 20% de descuento si el pago se realizaba antes del miércoles pasado, algo que parece no haber ocurrido.
Finalmente, el investigador Vitali Kremez mencionó que la plataforma de ciberseguridad e inteligencia Advanced Intel detectó que un grupo operador de REvil recientemente estuvo desplegando múltiples ataques contra algunos servidores de Microsoft Exchange: «Algunos grupos afiliados a REvil han estado explotando estas fallas par infectar implementaciones de Microsoft».
Hace un par de días se confirmó que los actores de amenazas que operan el ransomware DearCry emplearon la falla ProxyLogon para infectar los sistemas afectados. Si los operadores de REvil explotaran las vulnerabilidades recientes de Microsoft Exchange para robar datos o cifrar dispositivos, sería la primera vez que una de las operaciones de ransomware utiliza este vector de ataque.