Hechos clave:
-
La multinacional Banijay no ha revelado la cifra de rescate exigida por DopplePaymer.
-
DopplePaymer ha atacado a PEMEX, Pennsylvania y Compal por millones en bitcoins.
La francesa Banijay sufrió un ataque de ramsonware el pasado 26 de noviembre. Banijay, que es una de las más grandes compañías de producción y distribución de contenido audiovisual, dueña de shows como Master Chef, Black MIrror, The Voice o Survivor, fue infectado por el ransomware DoppelPaymer.
El ataque, que ya ha sido notificado a las autoridades del Reino Unido y de Holanda, se realizó específicamente sobre la holandesa Endemol Shine Group y la británica Endemol Shine International Networks. Estas compañías fueron adquiridas por Banijay en junio de 2020 por USD 2.2 mil millones.
También te podría interesar
El ciberataque parece haber secuestrado “cierta data personal de empleados y exempleados que ha sido comprometida, también sobre información comercial sensible”, aseguró Banijay. La empresa también señaló que están “tomando los pasos apropiados y quedamos comprometidos a proteger a nuestros empleados, antiguos y actuales, por lo que, si identificamos cualquier caso de data siendo robada o mal usada, contactaremos a los individuos directamente.”
A la compañía productora de shows como Keeping up with the Kardarshians, LEGO Masters, Mr. Bean y dueña de 120 compañías en 20 países, le hurtaron documentos de cumplimiento con el Reglamento General de Protección de Datos (RGPD o GDPR por sus siglas en inglés). Estos documentos fueron filtrados en una web por el grupo DoppelPaymer como prueba de su autoría en el robo, en lo que se llama una “doble extorsión”, donde además de pedir un rescate monetario por la data robada, el grupo amenaza con filtrar documentos sensibles de la compañía para meter presión a los directivos extorsionados.
Ante el presente ataque, no se ha anunciado un monto de rescate o si los ejecutivos franceses pagarían a DoppelPaymer, lo que sí pudiera esperarse es que, con los antecedentes de DoppelPaymer y la magnitud de la compañía de entretenimiento, no sea una cifra pequeña.
¿Qué ha hecho antes DoppelPaymer?
DoppelPaymer es un ransomware adjudicado a cibercriminales que viene haciendo de las suyas desde mediados de 2019. Ha tenido más de 100 víctimas y posee una web donde suele filtrar los documentos de las personas que no pagan. Como hemos reseñado en CriptoNoticias, uno de los ataques más famosos fue el año pasado a Petróleos Mexicanos (PEMEX), a quienes se les pidió un monto de 565 bitcoins, lo que equivalía a USD 5 millones y que hoy rondaría los USD 10 millones, el cual no pagaron.
Otro ataque grande de este ransomware fue al condado de Pennsylvania, quienes pagaron USD 500.000 como rescate por reportes policíacos, nóminas de pago, compras y otras bases de datos del Estado. Igualmente, la compañía taiwanesa de computadoras Compal, sufrió un ataque de DoppelPaymer en el que le pidieron casi 17 millones de dólares, el cual la compañía se negó a reconocer, siquiera.
Dos días antes del ataque a Banijay, una cuenta de Twitter con el nombre del ramsomware (@DoppelPaymer) tuiteó “Adivinen qué es lo que viene”, lo que pudo ser un anuncio del inminente ataque a la multinacional francesa.
DoppelPaymer suele utilizar ingeniería social para hacer sus ataques, convenciendo a un usuario a vincularse a un sitio malicioso que descarga el virus en el sistema. Este ransomware parece venir de una versión anterior llamada BitPaymer y utiliza herramientas administrativas remotas (RAT por sus siglas en inglés). Representantes de seguridad de Microsoft, Dan West y Mary Jensen han dicho:
“En nuestras investigaciones hemos encontrado que el malware depende de operadores humanos remotos que utilizan una credencial de administrador del dominio para expandirse a través de la red de la empresa.”
Dan West y Mary Jensen, Manager Seniors del programa de seguridad en el Centro de repuesta de seguridad de Microsoft.
Microsoft afirma que “globalmente, el ransomware continúa siendo una de las más populares fuentes de ganancia para los cibercriminales como parte de un ataque post-comprometido.”
