Al menos 40 empresas israelíes se vieron afectadas por un ciberataque después de que una empresa israelí llamada Amital Data, que opera un programa llamado Unifreight que es utilizado por empresas de logística, fuera atacada por hackers, muy probablemente de Irán. Las noticias del ataque y la posterior fuga de datos de las empresas que utilizan el software se revelaron en un archivo a la bolsa de valores de Israel por el accionista de Amital, Orian.
Mientras tanto, un equipo de hackers llamado Pay2Key, que en el pasado ha estado vinculado a Irán, hizo una declaración pública sobre un ataque que lanzó en septiembre contra otra empresa israelí, Habana Labs, que es propiedad de Intel y proporciona soluciones de inteligencia artificial. Los hackers dijeron que tenían control total sobre el sistema de la compañía israelí, incluyendo el acceso a datos sensibles.
40 empresas atacadas
En cuanto al ataque a Amital, la evaluación actual es que en el ataque a la empresa y a quienes utilizan su software, se robó un enorme tesoro de información, aunque todavía no está claro qué información se tomó. El sitio web de Amital no está en funcionamiento actualmente y además de la ciber autoridad de Israel, la empresa cibernética privada Comsec está consultando a la compañía mientras se tambalea por el ataque.
Amital dijo que “hace dos semanas identificamos ataques ofensivos contra nuestros sistemas y las computadoras de nuestros clientes. El incidente es solo un eslabón de una cadena de incidentes que tienen lugar simultáneamente a nivel nacional y que están siendo seguidos de cerca por la autoridad cibernética. Como es nuestro protocolo, nuestras defensas están siendo reforzadas y se ha creado una sala de situación especial para abordar cualquier asunto que se arriesgue. La empresa está utilizando expertos cibernéticos para contener el incidente y en este punto el daño parece localizado”.
Hace dos semanas, Shirbit, una prominente compañía de seguros, fue blanco de un ataque que la autoridad cibernética describió como una forma de “extorsión” que otros dijeron que estaba motivada por motivos ideológicos más que financieros.
Orian dijo a la bolsa de valores de Israel que “la semana pasada recibimos una advertencia de uno de nuestros proveedores de software (Amital) de que había estado involucrado en un evento cibernético y que la información almacenada en uno de nuestros servidores se filtró junto con la de otras 40 empresas”.
“La fuga se cerró en unas horas y después de una investigación que incluyó a Amital tenemos una evaluación sobre qué información se filtró. Sin embargo, no podemos confirmar con certeza la identidad de la información filtrada. Orian está trabajando con la autoridad cibernética de Israel y continuará reforzando sus defensas cibernéticas y evitando que tales incidentes ocurran en el futuro”, dijo a la bolsa.
Este tipo de ataque se denomina “Ataque a la Cadena de Suministros”, en el que la información sensible en poder de una determinada empresa se alcanza indirectamente, a través de programas externos proporcionados por sus proveedores. Los proveedores de programas informáticos suelen ser el principal objetivo de este tipo de ataques y este “vector de ataque”, como lo denominan los investigadores de ciberseguridad, es muy difícil de defender.
El ataque contra el programa Unifreight de Amital no se considera un ataque de rescate o extorsión atribuido a los delincuentes, sino que se trata de una operación estatal, en la que Irán es el principal sospechoso.
¿Crimen cibernético u operación iraní?
El mes pasado, Check Point, la empresa de seguridad online más famosa de Israel, reveló un ataque de extorsión contra empresas israelíes que estaba vinculado a Irán, o al menos a los iraníes. Ese ataque, conocido como Pay2Key, tuvo como objetivo los laboratorios Habana, que son propiedad de Intel y desarrollan procesadores para la IA.
El domingo, los hackers revelaron algunos de los datos que robaron, publicando en su Twitter lo que parecen ser imágenes del sistema interno de la firma, revelando datos que de ser ciertos serían preciosos para la organización, como parte de su intento de extorsionar a la compañía. Se filtraron datos adicionales en la red oscura.
“Basándose en lo que hemos visto en las últimas horas, el atacante afirma que tiene ‘control de dominio’ – o la capacidad de controlar la red de su víctima”, dice Dean Bar, socio de la firma de superinteligencia HackersEye.
“La información que los hackers afirman haber incluido documentos internos, nombres de archivos y routers, y un montón de código original, incluyendo el que es el producto y los desarrollos reales de la compañía. Por ejemplo, los hackers afirman que tienen miles de archivos originales sobre un producto llamado Goya, incluyendo el diseño de uno de los procesadores que Habana Labs está desarrollando”.
Haaretz ha informado en las últimas semanas sobre una serie de ataques cibernéticos y el creciente desbordamiento de las técnicas utilizadas por los ciberdelincuentes en la arena cibernética ofensiva. En cuanto a Pay2Key, Lotem Finkelstein, jefe de ciberinteligencia de CheckPoint, dijo a Omer Benjakob de Haaretz que “el software de rescate se asocia inmediatamente con el cibercrimen y el dinero, y con razón”. Sin embargo, el software de rescate sirve más a las motivaciones que a las ganancias financieras.
“Hemos visto, por ejemplo, a los hacktivistas que utilizan el software de rescate para llevar mensajes específicos a la organización objetivo, o para servir a una determinada idea”, dice. “Este fue el caso del programa de rescate Pay2Key, en el que un grupo desconocido de hackers iraníes atacaron principalmente a empresas israelíes con programas de rescate de última generación. Mientras hacían todo lo posible por cobrar el rescate, las características geopolíticas [del ataque] también sugieren que los hackers también fueron impulsados ideológicamente”.
Siguiendo el dinero pagado a los ciberdelincuentes, el departamento de investigación de Check Point logró rastrear los bitcoin pagados por otras víctimas del ataque Pay2Key de vuelta a Irán. “Seguimos la secuencia de las transacciones, que comenzaron con el depósito del rescate y terminaron en lo que parecía ser un intercambio de criptodólares iraníes llamado Excoino”, dijo la compañía en su informe.
“Excoino es una empresa iraní que proporciona servicios de transacciones seguras en criptodólares a los ciudadanos iraníes”, añadió el informe original de Check Point. El sitio requiere una tarjeta de identificación iraní válida para poder transferir fondos, lo que indica que como mínimo estos ataques involucraron a ciudadanos iraníes en algún nivel. La empresa dijo que sospechaba que piratas informáticos iraníes con conocimientos muy avanzados estaban detrás de los ataques.