Hackearon a la aseguradora de viajeros Universal Assistance y robaron información de miles de clientes


La aseguradora de viajeros Universal Assistance fue hackeada por ciberdelincuentes que publicaron 54 GB de información, entre la que hay datos personales de miles de clientes.

Se trata de un ransomware, un tipo de virus informático que secuestra información y pide un rescate en dinero a cambio para no filtrar los archivos robados, entre los que hay archivos que hacen referencia a datos de pasaportes y tarjetas de crédito.

Universal Assistance fue infectada con una cepa llamada “RansomExx” que fue la misma que el año pasado logró filtrar archivos privados de la compañía brasileña Embraer, tercera fabricante de aviones del mundo.

Según la página web de los ciberdelincuentes, la información fue extraída el jueves de la semana pasada. Distintos sitios especializados empezaron a advertirlo:

De hecho, el dato apareció en darktracer.com, un sitio que actualiza todos los días este tipo de ataques. La información está disponible en un link de la deep web al cual se puede acceder con navegadores como Tor.

El enlace (.onion) ya tiene más de 10 mil visitas.​

El sitio de RansomExx, donde se ve el secuestro de información.

La lista de archivos leakeados está dividida en 112 partes .zip

La lista de archivos leakeados está dividida en 112 partes .zip

DarkTracer sumó a Universal Assistance a su lista pública de ataques (a la cual se puede acceder aquí).

Clarín se comunicó con Universal Assistance, que no respondió a preguntas específicas sobre el caso.

Más tarde, la compañía emitió un comunicado en el que  reconocen que sufrieron un ataque pero lo relativizan: “No hemos experimentado ningún tipo de impacto en nuestras operaciones ni en el servicio a los clientes”.

"Lamentamos profundamente los inconvenientes provocados", dice el comunicado de Universal Assistance

“Lamentamos profundamente los inconvenientes provocados”, dice el comunicado de Universal Assistance

Sin embargo, entre los archivos hay jpgs que indican que son fotos de pasaportes y casos específicos de pagos rechazados de tarjetas de crédito.

En total, según puede verse en un archivo llamado “tree”, hay cerca de 1268 archivos en formato .docx, 8586 .xlsx, 29776 .pdf y 1843 .zip.

Clarín ​no accedió a la información personal de los usuarios, sino a un .txt que contiene una lista de los archivos y carpetas efectivamente secuestrados.

En esa lista se encuentra información sobre nombres de archivos que denotan datos sensibles:

"Tree.txt": el archivo de texto que contiene los nombres de los archivos robados a Universal Assistance

“Tree.txt”: el archivo de texto que contiene los nombres de los archivos robados a Universal Assistance

PNGs, PDF y JPGs

PNGs, PDF y JPGs

Información personal de usuarios

Información personal de usuarios

Qué es RansomExx, el virus que le robó información a Embraer

Embraer, fabricante brasileña de aviones, fue hackeada el año pasado. Foto Reuters

Embraer, fabricante brasileña de aviones, fue hackeada el año pasado. Foto Reuters

“RansomExx es un ‘rebrandeo’ de Defray777 [otro virus] que típicamente se instala en Windows y Linux, lo que significa que los ataques pueden ser específicamente disruptivos e implican que la recuperación de la información demanda más tiempo y es más problemática”, explicó a Clarín Brett Callow, analista de la compañía de seguridad informática Emsisoft.

Un ransomware es un tipo de virus cuyo nombre es un acrónimo de “programa de rescate de datos”: ransom en inglés significa rescate, y ware es un acortamiento de la conocida palabra software: un programa de secuestro de datos. El ransomware es un subtipo del malware, acrónimo de “programa malicioso” (malicious software).

Este tipo de virus actúa restringiendo el acceso a partes de nuestra información personal, o la totalidad. Y en general, los ciberdelincuentes explotan esto para pedir algo a cambio: dinero.

Si bien algunos ransomware simples pueden bloquear el sistema de una manera simple, los más avanzados utiliza una técnica llamada extorsión “criptoviral”, en la que se encriptan los archivos de la víctima logrando que se vuelvan completamente inaccesibles.

ransomware

Pero más allá de que la información sea encriptada o no, la forma de proceder de los ciberdelincuentes es bajo la extorsión: amenazan con difundir la información robada para que competidores se aprovechen de ella, o bien para exponer datos personales de usuarios y así dañar no sólo a particulares sino a las empresas que, se suponía, tenían que custodiar esa información.

RansomExx comenzó a cobrar relevancia a mediados de 2020, según malpedia, un sitio que recopila amenazas informáticas.

RansomExx en Malpedia. Foto Malpedia

RansomExx en Malpedia. Foto Malpedia

A su vez, es una variante de Defray, otro ransomware que apareció por primera vez en 2017 y que se diseminó vía documentos de Word por correo electrónico con carnadas específicamente diseñadas para cada usuario: datos personales o información reconocible que generara confusión en invita a cliquear.

Algunas de las víctimas de RansomExx durante 2020 fueron Embraer, Minolta, y el sistema de transporte público de Montreal.

El caso del fabricante de aviones fue muy resonante: los ciberdelincuentes lograron robar la información de los servidores de la compañía, entre lo que encontraron información personal de empleados, contactos de la empresa, fotos de simulaciones de vuelos y hasta código fuente.

Durante 2020 uno de los ataques más significativos afectó el sistema nacional de Migraciones en Argentina.

En septiembre del año pasado, un ciberataque que utilizó la cepa de ransomware NetWalker secuestró información de la Dirección Nacional de Migraciones (DNM) y pidió a cambio cerca de 76 millones de dólares para extorsionar al Gobierno, que solo reconoció un pedido de recompensa de 4 millones de dólares, que se negó a pagar.

Los datos que se publicaron contenían información sobre la Agencia Federal de Inteligencia (AFI), consulados, embajadas e informes de flujos migratorios.

NetWalker llegó a recaudar más de 25 millones de dólares en extorsiones hasta el año pasado.

Javier Smaldone, especialista en seguridad informática argentino: “El problema es que la ley argentina, a diferencia por ejemplo de la europea, no obliga a quien está en custodia de datos personales de terceros a notificarlos (ni a denunciar) cuando estos se filtran. Por eso, lo más frecuente es que cuando pasen estas cosas, las empresas se lo guarden. Precisamente por eso, al encontrarlos en un listado público de víctimas de ransomware, decidí difundirlo en las redes sociales”, explicó.

“En resumen: si mis datos se filtran porque atacaron a una empresa que me brinda un servicio, me gustaría enterarme. Mis datos personales son míos. Los cedo a una empresa para que esta me provea un servicio. Pero siguen siendo míos, la empresa está obligada a custodiarlos debidamente, y si se filtran a manos de un tercero yo debería poder enterarme”, cerró el experto.

Universal Assistance no respondió el pedido de comentarios específicos por parte de Clarín.

PJB



Fuente