Los hackers que utilizaron ransomware contra JBS, sacaron datos de Australia y Brasil

Los piratas informáticos que utilizaron ransomware para cerrar JBS SA, el mayor productor de carne del mundo, exploraron el posible ataque en febrero y robaron datos durante varios meses de las ubicaciones del gigante de los alimentos en Australia y Brasil, según el investigador de seguridad SecurityScorecard Inc.

La fase de "reconocimiento" del ciberataque, en la que los piratas informáticos se enteran de un objetivo y dónde podrían explotarlo, comenzó en febrero, según un informe de SecurityScorecard compartido con Bloomberg. La investigación se basa en múltiples fuentes de inteligencia públicas y privadas, observaciones en la web oscura y herramientas de investigación como NetFlow, que rastrea los flujos de tráfico digital, según Ryan Sherstobitoff, vicepresidente de investigación e inteligencia de ciberamenazas en SecurityScorecard. La compañía planea publicar el informe el martes.

Un portavoz de JBS USA cuestionó los hallazgos y dijo que eran inconsistentes con una investigación preliminar realizada por expertos externos.

“No hemos descubierto ninguna evidencia de que se haya extraído ningún dato de la empresa, y ninguna evidencia de que Brasil se haya visto afectado de alguna manera”, dijo Nikki Richardson, la portavoz. "La investigación está en curso, y sería irresponsable de nuestra parte comentar sobre informes especulativos o rumores infundados".

“El hecho es que los protocolos de ciberseguridad de la compañía permitieron una rápida resolución de este ataque criminal dirigido, lo que resultó en la pérdida de menos de un día de producción”, dijo.

El ataque de ransomware a fines del mes pasado obligó a JBS a detener la producción en sus plantas de carne de res en los EE.UU., que representan casi el 25% de los suministros estadounidenses, y a ralentizar las operaciones de carne de cerdo y aves de corral. El FBI ha atribuido el incidente a REvil, un grupo de piratería que, según los investigadores, tiene vínculos con Rusia.

Se desconoce cómo o dónde irrumpieron los piratas informáticos en la empresa de alimentos con sede en San Paolo, pero en marzo comenzaron a tomar datos de la ubicación de JBS en Australia, según los investigadores. SecurityScorecard encontró credenciales pertenecientes a empleados de la sucursal de la compañía en Australia en la web oscura justo antes de que comenzara la exfiltración, dijo Sherstobitoff en una entrevista.

SecurityScorecard también encontró evidencia que sugiere que los piratas informáticos tomaron datos en abril y mayo de una ubicación de JBS en Brasil. Luego, la compañía fue atacada a fines de mayo con un ransomware, que encripta los datos hasta que la víctima paga para desbloquear sus sistemas.

"Al igual que con todas las operaciones de ransomware, los atacantes probablemente estén interesados ​​en exfiltrar datos y potencialmente filtrarlos en la web oscura si las víctimas no pagan", según el informe. "Por lo general, el actor de amenazas exfiltra los datos antes de cifrar los archivos y luego utiliza los datos para extorsionar a la víctima con el fin de obtener beneficios económicos".

La investigación de SecurityScorecard, sin embargo, se alinea con las investigaciones del sector privado sobre el ataque, dijo una persona familiarizada con esas sondas. Los atacantes comenzaron a tomar grandes cantidades de datos de la red de la compañía en Australia en marzo y continuaron hasta que se descubrió el ataque a fines del mes pasado, dijo la persona. Citando el análisis de los patrones de tráfico de Internet de los piratas informáticos en torno a los datos robados, la persona dijo que los atacantes parecen haber pasado un tiempo inusualmente largo robando información antes de detonar el ransomware.