AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**SafePay amenaza con filtrar 3.5TB de datos tras ciberataque a Ingram Micro**

admin

### 1. Introducción

El grupo de ransomware SafePay ha reivindicado recientemente una brecha significativa contra Ingram Micro, una de las mayores compañías globales de distribución de tecnología y servicios de TI. Según los atacantes, lograron exfiltrar 3,5 terabytes de información sensible de la empresa, amenazando con su publicación si no se satisfacen sus demandas económicas. Este incidente, que salió a la luz en junio de 2024, pone de manifiesto la creciente sofisticación y agresividad de los grupos de ransomware dirigidos a grandes corporaciones y resalta la urgencia de revisar las estrategias de ciberseguridad en el sector TIC.

### 2. Contexto del Incidente

Ingram Micro, con presencia en más de 60 países y una facturación superior a los 54.000 millones de dólares anuales, se encuentra entre los principales proveedores mundiales de soluciones de TI, logística y nube. El ataque se produjo a principios de junio de 2024, según fuentes internas y foros de la dark web monitorizados por analistas de amenazas. SafePay, un actor relativamente nuevo pero activo desde finales de 2023, publicó en su blog de filtraciones una muestra de los datos presuntamente sustraídos, que incluyen documentos financieros, información de clientes, contratos y credenciales internas.

El grupo ha fijado un plazo para que Ingram Micro pague el rescate, advirtiendo que, de no hacerlo, toda la información será filtrada públicamente o vendida al mejor postor. Este tipo de extorsión doble (encriptación y filtración de datos) es ya una táctica consolidada en el modus operandi de los grupos de ransomware modernos.

### 3. Detalles Técnicos

Aunque Ingram Micro no ha publicado un informe técnico completo, fuentes de inteligencia de amenazas y análisis de muestras atribuidas al ataque sugieren que SafePay habría explotado vulnerabilidades en servicios expuestos, probablemente mediante técnicas de spear-phishing para obtener acceso inicial (MITRE ATT&CK: T1566.001).

**Vectores de ataque y TTPs identificados:**
– **Acceso inicial:** Phishing dirigido (T1566), explotación de credenciales robadas (T1078).
– **Ejecución:** Uso de scripts PowerShell para el despliegue de cargas útiles (T1059.001).
– **Movimientos laterales:** RDP y credenciales internas (T1021.001).
– **Exfiltración:** Herramientas legítimas como Rclone y MEGA para la transferencia masiva de datos (T1567.002).
– **Cifrado:** Uso de ejecutables personalizados de SafePay, sin detección por firmas convencionales, con exclusiones para sistemas críticos (Evitando la detección EDR).

**Indicadores de Compromiso (IoCs):**
– Dominios y direcciones IP recientemente comunicadas en foros de intercambio de inteligencia.
– Hashes de archivos de muestra de ransomware detectados en entornos sandbox.
– Logs de acceso inusual en VPN y servicios cloud de Ingram Micro.

No se han identificado CVEs específicos asociados todavía, pero la explotación de credenciales y movimientos laterales sugiere negligencia en MFA y segmentación de red.

### 4. Impacto y Riesgos

El impacto potencial es considerable:
– **Afectación de operaciones globales:** Interrupciones en la cadena de suministro y logística.
– **Exposición de información sensible:** Datos de clientes, partners, contratos y credenciales.
– **Cumplimiento normativo:** Violaciones graves de GDPR y posible impacto en la futura regulación NIS2.
– **Riesgo reputacional:** Pérdida de confianza de clientes y socios estratégicos.

Según SafePay, la filtración podría afectar a millones de registros, abarcando desde información personal identificable (PII) hasta detalles internos de proyectos tecnológicos. El coste medio de recuperación tras incidentes similares supera los 4,5 millones de dólares, según el informe Cost of a Data Breach 2023 (IBM), sin contar sanciones regulatorias.

### 5. Medidas de Mitigación y Recomendaciones

Para mitigar el impacto y prevenir ataques similares, los expertos recomiendan:

– **Implementación estricta de MFA** en todos los accesos remotos y privilegiados.
– **Segmentación de red y control de accesos**, limitando movimientos laterales.
– **Monitorización avanzada** mediante SIEM/SOC, con reglas específicas para detectar exfiltración masiva y comportamientos anómalos.
– **Backups offline** y pruebas periódicas de restauración.
– **Simulacros de respuesta ante ransomware** y formación continua del personal.
– **Actualización constante de parches** en todos los sistemas expuestos.

### 6. Opinión de Expertos

Especialistas de empresas de ciberinteligencia como CrowdStrike y Kaspersky señalan que SafePay está adoptando TTPs de grupos consolidados como LockBit o BlackCat, pero con una orientación clara a la exfiltración masiva y extorsión doble. Destacan también la tendencia a utilizar herramientas legítimas para evadir controles tradicionales y la baja tasa de detección inicial, lo que dificulta la respuesta temprana.

### 7. Implicaciones para Empresas y Usuarios

Este incidente debe servir de aviso para todas las organizaciones que gestionan información crítica o sensible. La creciente profesionalización de los grupos de ransomware, unida a la inminente entrada en vigor de NIS2 en la UE, obliga a las empresas a elevar sus estándares de ciberhigiene y cumplimiento. Los clientes y partners también se ven expuestos a riesgos derivados de la cadena de suministro digital, acentuando la importancia de la gestión de terceros.

### 8. Conclusiones

El ataque a Ingram Micro por parte de SafePay subraya la necesidad de una defensa en profundidad, la actualización constante de medidas de protección y una respuesta ágil ante incidentes. En un ecosistema digital hiperconectado, la resiliencia y la preparación frente a ciberataques son ya requisitos imprescindibles para la continuidad de negocio y la protección de datos sensibles.

(Fuente: www.bleepingcomputer.com)