AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**El Colectivo Ransomware Revil Reaparece y Amenaza con Filtrar Datos Robados de Clientes de Salesforce**

admin

### Introducción

La actividad delictiva en el ámbito del ransomware continúa evolucionando a un ritmo vertiginoso, desafiando la resiliencia de organizaciones y proveedores de servicios en la nube. Tras anunciar su supuesta disolución, el conocido colectivo cibercriminal Revil ha reaparecido en la escena, esta vez dirigiendo sus amenazas hacia clientes de Salesforce. Según han comunicado en foros clandestinos, el grupo exige el pago de un rescate antes del 10 de octubre, advirtiendo que, de no cumplirse sus demandas, procederán a la publicación masiva de datos sensibles sustraídos de entornos Salesforce.

### Contexto del Incidente

Revil, también conocido como Sodinokibi, es uno de los grupos de ransomware más prolíficos y sofisticados de los últimos años. A pesar de su supuesto cierre tras la presión internacional y varias detenciones en 2022, el colectivo ha demostrado una notable capacidad de resiliencia y reorganización. En esta ocasión, sus objetivos han sido empresas que utilizan Salesforce, el popular CRM en la nube, lo que subraya la tendencia creciente de los actores de amenazas a explotar plataformas SaaS críticas y ampliamente adoptadas en el entorno empresarial.

Los actores han hecho público su ultimátum a través de canales habituales de la darknet y foros de ransomware, acompañando la amenaza con muestras parciales de los datos exfiltrados, con el objetivo de presionar tanto a las víctimas como a Salesforce.

### Detalles Técnicos

**Vectores de Ataque y Tácticas Observadas**

Según las primeras investigaciones, el ataque habría explotado credenciales comprometidas y la configuración incorrecta de permisos en instancias de Salesforce, lo que permitió el acceso no autorizado a datos sensibles de clientes. Aunque no se ha confirmado la explotación de una vulnerabilidad específica con identificador CVE, la campaña muestra similitudes con técnicas previamente asociadas al grupo, como la explotación de accesos privilegiados y el uso de herramientas de postexplotación.

**TTP según MITRE ATT&CK**

– **Initial Access**: T1078 (Valid Accounts). Uso de credenciales legítimas obtenidas mediante phishing o compra en mercados clandestinos.
– **Privilege Escalation**: T1068 (Exploitation for Privilege Escalation).
– **Collection**: T1119 (Automated Collection) para la extracción masiva de datos desde la nube.
– **Exfiltration**: T1041 (Exfiltration Over C2 Channel).

**Indicadores de Compromiso (IoC)**

– Actividad anómala en registros de acceso de Salesforce (login desde ubicaciones no habituales).
– Extracciones masivas de datos en periodos cortos de tiempo (descargas por API).
– Uso de scripts automatizados, posiblemente integrados en frameworks como Metasploit o Cobalt Strike, para la persistencia y la exfiltración.

### Impacto y Riesgos

El alcance potencial de la filtración es significativo, dado que Salesforce gestiona información crítica de miles de organizaciones, incluidos datos personales, comerciales y financieros. Se estima que podrían estar implicados cientos de clientes, con datos sensibles de decenas de miles de individuos y entidades. El impacto supera la barrera reputacional, exponiendo a las organizaciones afectadas a sanciones regulatorias bajo el GDPR y la inminente directiva NIS2, así como a demandas civiles y pérdidas económicas sustanciales.

En términos económicos, los rescates exigidos por Revil en incidentes previos han oscilado entre los 500.000 y los 10 millones de dólares, dependiendo de la criticidad de los datos comprometidos y el perfil de la víctima.

### Medidas de Mitigación y Recomendaciones

1. **Revisión de Accesos y Permisos**: Auditar y restringir los accesos privilegiados en instancias de Salesforce. Aplicar el principio de mínimo privilegio.
2. **Multi-Factor Authentication (MFA)**: Habilitar MFA para todos los usuarios y administradores de Salesforce.
3. **Monitorización de Actividad**: Implementar monitoreo avanzado de logs y alertas ante patrones anómalos de actividad, especialmente relacionados con la exportación de datos.
4. **Rotación de Credenciales**: Cambiar inmediatamente todas las credenciales potencialmente comprometidas y revisar integraciones de terceros.
5. **Simulacros de Respuesta**: Realizar ejercicios de respuesta ante incidentes de ransomware específicos para entornos SaaS.

### Opinión de Expertos

Mario Álvarez, CISO de una consultora multinacional, advierte: “Este tipo de ataques pone de manifiesto la urgencia de tratar la seguridad en la nube con el mismo rigor que en los entornos on-premise. La sobreconfianza en las medidas de los proveedores SaaS puede generar brechas críticas, especialmente en la gestión de identidades y accesos”.

Por su parte, analistas de SOC consultados por Dark Reading subrayan la sofisticación de la campaña y la importancia de mantener una visibilidad granular sobre el tráfico y los eventos en plataformas cloud.

### Implicaciones para Empresas y Usuarios

Las empresas deben repensar su estrategia de gestión de riesgos en la nube, considerando, además de la responsabilidad compartida, la necesidad de controles adicionales y auditorías regulares sobre sus integraciones SaaS. Para los usuarios finales, la exposición de datos personales puede derivar en ataques de ingeniería social, phishing dirigido y suplantación de identidad a gran escala.

El incidente también podría acelerar la adopción de soluciones CASB (Cloud Access Security Broker) y servicios de Zero Trust, alineándose con las recomendaciones de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y las nuevas obligaciones de NIS2 sobre la protección de activos críticos.

### Conclusiones

El retorno de Revil y su enfoque en plataformas SaaS como Salesforce supone una advertencia contundente para el sector: la seguridad en la nube debe abordarse con una estrategia proactiva y multidimensional. Las organizaciones deben reforzar sus políticas de control de acceso, monitorización y respuesta ante incidentes, así como mantener una colaboración estrecha con proveedores y organismos reguladores. La protección de los datos en la nube, bajo la amenaza constante de grupos avanzados, será uno de los grandes retos en ciberseguridad durante los próximos años.

(Fuente: www.darkreading.com)