Gigabyte sufre el segundo ataque de ransomware en tres meses

El fabricante de hardware Gigabyte ha sufrido un ataque de ransomware no confirmado por la compañía, aunque se ha dado a conocer a través de la plataforma de inteligencia criminal DarkTracer, que ha informado que el nombre de la empresa ha aparecido en la lista de víctimas del grupo de ransomware conocido como AvosLocker.

Además, el grupo de expertos que trabajan en el sitio web Privacy Sharks confirman que en el blog de la deep web del grupo cibercriminal AvosLocker se han puesto a la venta los datos robados. De ser confirmado por la compañía, sería el segundo ataque del mismo tipo que sufre en 3 meses, puesto que en agosto sufrió otro, atribuido a la banda Ransom EXX, en el que el grupo sufrió el robo de 112 GB de datos.

Anuncio en el blog en la deep web del grupo cibrecriminal AvosLocker

El grupo cibercriminal AvosLocker, ha hecho pública una muestra de los datos extraídos, que ocupa 14,9 MB, en la que, según expertos en privacidad, se encuentra información sensible, entre la que hay nombres de usuario y contraseñas, detalles sobre nóminas de empleados, documentos de recursos humanos y datos de tarjetas de crédito. Además, contiene documentación de los acuerdos de Gigabyte con otras tecnológicas de cierto nivel, como Barracuda Networks, Blizzard, Intel, Amazon entre otras.

Si los contenidos son correctos, Gigabyte estaría en un serio problema, pues el grupo AvosLocker puede poner en práctica un plan en el que saca a subasta los datos robados si no se paga el rescate, en lugar de publicarlos de manera gratuita. Si este plan se ejecuta, a Gigabyte le quedan pocas opciones para no pagar el rescate, pues sus datos más sensibles podrían acabar en manos de la competencia.

AvosLocker es un grupo de reciente creación (empezó sus operaciones a finales de junio de 2021). Emergió siguiendo el RaaS (Ransomware as a Service). Sus características técnicas son las siguientes:

  • Su amenaza de ransomware implementada está escrita en C ++ y utiliza una versión personalizada del algoritmo criptográfico AES-256 para bloquear los archivos almacenados en los sistemas violados.
  • El malware está diseñado para infectar máquinas con Windows y no se ejecutará en otras plataformas.
  • Como parte de sus capacidades amenazantes, AvosLocker Ransomware puede eliminar las instantáneas de volumen de los archivos afectados, así como finalizar aplicaciones específicas que puedan interferir con el proceso de cifrado.
  • Al cifrar un archivo, AvosLocker agrega ‘.avos’ al nombre original de ese archivo como una nueva extensión.
  • Como la mayoría de las amenazas de este tipo, AvosLocker Ransomware también entrega una nota de rescate con instrucciones para sus víctimas.
  • El mensaje se coloca como un archivo de texto llamado “GET_YOUR_FILES_BACK.txt”.

Publicado
noviembre 3, 2021

Autor: Javier Suárez