Tecnología > Vulnerabilidad
Guyer y Regules ya había sufrido ciberataques antes del último hackeo
El estudio jurídico uruguayo Guyer y Regules ya había sufrido ciberataques previamente al hackeo de 1 terabyte de información que realizó el grupo de piratas informáticos Lockbit, indica un informe que realizó el analista en seguridad Mauro Eldtritch.
De esa forma, el estudio ya tenía credenciales expuestas recientemente y eso pudo contribuir a lo que se suele llamar "superficie de ataque", o sea, los lugares más vulnerables.
El informe de Eldtritch –quien había informado en primer lugar sobre el hackeo al estudio jurídico– señala una línea de tiempo de ataques a Guyer y Regules.
Primero, en 2022, inteligencia de MeFiltraron (plataforma de DC5411 que detecta filtraciones) había encontrado que se exponían usuarios del dominio guyer.com.uy, "sin contraseñas", sostiene el texto compartido por el analista en su cuenta de Twitter.
Luego, ya en 2023, inteligencia de la misma plataforma detectó un importante incremento de filtraciones donde se exponían, otra vez, usuarios y credenciales del mismo dominio.
En agosto de este año, inteligencia de Sheriff (plataforma de Birmingham Cyber Arms LTD) reportó 30 credenciales filtradas para el dominio guyer.com.uy.
Y el 31 de agosto, "Lockbit anunció a Guyer & Regules como víctima, listando a la compañía en su Sitio Dedicado de Filtraciones (DLS)", dice el informe.
El grupo de piratas pidió US$ 300 mil de rescate.
El caso de Guyer & Regules
El estudio jurídico fue víctima en lo que en el mundo de la informática se llama ransomware: secuestro de información y pedido de dinero a cambio.
"En un principio, el grupo liberó 10 archivos de muestra, que incluían pasaportes de ciudadanos de Estados Unidos y el Reino Unido, contratos, acuerdos, así como documentos legales y bancarios de clientes. Entre estos, se encontraba la reconocida financiera argentina Lemon Cash", continúa el informe.
"A pesar del ataque, la firma Guyer & Regules continuó trabajando con normalidad, lo que sugiere que podrían haber recuperado sus operaciones mediante la restauración de un respaldo o la implementación de un plan de contingencia. Sin embargo, es importante destacar que esta es una solución temporal que no aborda el hecho de que Lockbit realiza copias de los archivos comprometidos para extorsionar a sus víctimas con la publicación de los mismos", dice el texto escrito por Eldtritch.
Según el analista en seguridad, también hacker: "Esto se refleja en el comunicado de Guyer, donde admiten que, hasta el momento, no tenían certeza de que información confidencial hubiese sido expuesta. Es probable que inicialmente hayan creído que el ataque solo implicaba la encriptación de sus archivos locales y no la exfiltración de los mismos".
"El afiliado de Lockbit responsable del ataque menciona al equipo de Sistemas de la firma, enfatizando su "inoperancia" (sic). Esto sugiere que el ataque podría haberse basado en una vulnerabilidad técnica o una mala configuración en lugar de una táctica de ingeniería social contra los empleados, como el engaño o el phishing", continúa.
"Además, el atacante incluye el método de acceso a los servidores de Guyer con la compra del lote de información, lo que indica que la supuesta vulnerabilidad aún puede existir en el sistema. Esto respalda la idea de que la compañía restauró su funcionamiento utilizando un respaldo que reanuda las operaciones pero no resuelve los problemas de seguridad subyacentes", afirma.
"En la publicación también se menciona que además de poseer documentos diversos, el grupo tiene en su poder "algo mucho más interesante" (sic), lo que probablemente explique el monto final del rescate, un 50% mayor al habitualmente solicitado por Lockbit ($200.000 USD).".
El informe concluye al señalar que hasta el momento "la publicación del atacante sigue activa, lo que sugiere que el lote de información aún está disponible para la venta".
