Financiera Apex Capital Corp es víctima de un ataque de Ramsonware dirigido por el grupo BlackByte. Estos amenazan con destruir y exponer todos sus datos

0
484
Después de culpar inicialmente a una "interrupción no planificada del sistema" por la que sus redes informáticas quedaron desconectadas desde la madrugada del lunes, Apex Capital Corp. y su subsidiaria, TCS Fuel, confirmaron que los sistemas de ambas compañías fueron objeto de un ataque de malware.

La banda de ransomware BlackByte se atribuye la responsabilidad de infectar los sistemas operativos de una de las empresas de factoring más grandes de los EE. UU., Apex Capital, con sede en Fort Worth, Texas, que, a su vez, cerró la red de TCS Fuel.

En febrero, el FBI y el Servicio Secreto de EE. UU. (USSS) publicaron un Aviso de Ciberseguridad (CSA) conjunto sobre BlackByte. El informe describió a la pandilla como “un grupo de ransomware como servicio que encripta archivos en sistemas host de Windows comprometidos, incluidos servidores físicos y virtuales”.

Algunos camioneros de pequeñas empresas que utilizan Apex Capital para factorizar sus cuentas por cobrar o cargar combustible en sus camiones usando tarjetas de combustible con descuento a través de TCS le dijeron a FreightWaves que se alarmaron el lunes por la mañana cuando no pudieron iniciar sesión en los sistemas de las empresas, cargar combustible en sus camiones o acceder a los fondos. para pagar a sus propietarios-operadores.

Apex Capital y TCS Fuel se especializan en brindar servicios financieros para pequeñas y medianas empresas de camiones.

Sherry Leigh, directora de productos y marketing de Apex, reiteró a FreightWaves y a sus clientes que la empresa "sigue siendo financieramente sólida".

“Fuimos infectados por malware y seguimos trabajando día y noche para que nuestros sistemas vuelvan a estar en línea”, dijo Leigh en un correo electrónico. “La buena noticia es que nuestros sistemas centrales y las bases de datos de clientes permanecen intactos y estamos volviendo a poner en línea con éxito nuestro procesamiento. Sin embargo, este sigue siendo un proceso lento”.

El martes, Leigh se negó a comentar qué datos pudieron haber sido robados por los piratas informáticos que accedieron al sistema de Apex.

El miércoles por la noche, Chris Bozek, presidente de Apex Capital Corp., publicó un mensaje en el sitio web de la compañía y en las cuentas de redes sociales, incluido Twitter, sobre sus esfuerzos para financiar a sus clientes de camiones.

“Nuestros empleados continúan trabajando diligentemente para procesar facturas y financiar a nuestros clientes”, dijo Bozek en el comunicado. “A pesar de estas circunstancias difíciles, estamos haciendo todo lo posible para brindarle el mejor servicio posible”.

Brett Callow, analista de amenazas de Emsisoft, confirmó que BlackByte fue responsable del ataque de ransomware en Apex Capital y está utilizando métodos en evolución para atacar a sus víctimas.

“Verás que tienen algunas tácticas nuevas”, dijo Callow a FreightWaves. “Las víctimas pueden pagar para extender el tiempo hasta que se publiquen los datos [confidenciales], para que se eliminen los datos (supuestamente), mientras que cualquiera puede pagar para descargarlos”.

De acuerdo con la demanda de ransomware de BlackByte, cualquiera puede pagar $5,000 para extender la liberación de datos de la compañía por 24 horas, $300,000 para destruir toda la información y $200,000 para descargar todos los datos de Apex. Soufiane Tahiri, ingeniero de seguridad de la información, compartió detalles sobre el ataque de malware en su cuenta de Twitter la madrugada del miércoles.


Captura de pantalla: Twitter
“El precio [para descargar los datos] podría establecerse intencionalmente bajo”, dijo Callow. “Los piratas informáticos pueden esperar que las víctimas crean que el bajo precio resultará en que uno o más terceros lo compren si no pagan la demanda para que los datos (supuestamente) sean retirados del mercado. Los terceros en cuestión podrían ser otros ciberdelincuentes o quizás incluso competidores [de Apex]”.

Callow dijo que no está claro dónde se basa la operación de BlackByte, pero agregó que es posible que haya cierta superposición con otra operación de ransomware: Conti.

“Además, el hecho de que los desarrolladores puedan tener su sede en un país o países en particular no significa que sea de donde provino el ataque. Los grupos efectivamente "alquilan" su ransomware a afiliados que lo usan en sus ataques, y los afiliados pueden estar ubicados en cualquier lugar”, dijo.

Bozek dijo que Apex está trabajando las 24 horas para que “nuestros sistemas vuelvan a funcionar”.

Con información de 

https://www.freightwaves.com/news/apex-capital-blames-malware-attack-for-unplanned-system-outage


Gerardo J Gil Dams @GGILD1983