El gigante tecnológico japonés Casio ha sido víctima de un ciberataque de ransomware atribuido a la banda clandestina conocida como Underground. Este ataque, ocurrido el 5 de octubre, provocó interrupciones en los sistemas de la empresa y afectó a algunos de sus servicios. Aunque Casio reveló el ataque en su sitio web, la compañía ocultó detalles específicos y afirmó haber contratado a especialistas en TI para investigar si se robaron datos personales o confidenciales.
Sin embargo, el grupo de ransomware Underground ha agregado a Casio a su portal de extorsión en la dark web, donde comenzó a filtrar grandes cantidades de datos robados de la compañía. Entre la información comprometida se incluyen documentos confidenciales, acuerdos legales, datos personales de empleados, nóminas, información de patentes y proyectos, así como informes financieros y de incidentes. Esto sugiere que el ataque podría tener repercusiones graves para la fuerza laboral de Casio y su propiedad intelectual.
Detalles sobre el ransomware Underground
Underground es una operación relativamente nueva, activa desde julio de 2023 y dirigida a sistemas Windows. Según un informe de Fortinet de agosto de 2024, el grupo ha estado asociado con ciberdelincuentes rusos vinculados al ransomware Cuba, conocidos por su experiencia en ataques cibernéticos.
Este grupo ha explotado vulnerabilidades como la CVE-2023-36884, una falla en Microsoft Office que permite la ejecución remota de código, lo que probablemente fue utilizado como punto de entrada en el ataque a Casio. Una vez dentro de un sistema, Underground utiliza técnicas avanzadas, como modificar registros para extender las sesiones de Escritorio remoto hasta 14 días después de la desconexión del usuario, lo que les permite mantener el acceso prolongado a los sistemas comprometidos.
Una de las características distintivas de Underground es que no agrega extensiones a los archivos cifrados, lo que dificulta la detección inmediata del ataque. Además, omite archivos esenciales del sistema operativo para evitar que el sistema sea completamente inutilizable, asegurando que el ataque cause el mayor daño posible sin ser descubierto de inmediato.
Además de cifrar datos, Underground detiene servicios críticos como MS SQL Server para acceder a datos sensibles antes de cifrarlos, lo que maximiza el impacto de sus ataques. Al igual que otros ransomwares, elimina las copias de seguridad de los sistemas afectados, haciendo imposible la restauración fácil de los datos sin pagar el rescate.
Estrategias de extorsión y exposición de datos
Lo que hace único a Underground es su enfoque en la exposición de datos robados. El grupo no solo utiliza su portal en la dark web para publicar información confidencial, sino que también promueve los enlaces de los datos filtrados a través de su canal de Telegram, facilitando la difusión pública de los archivos mediante la plataforma de almacenamiento Mega. Esto no solo aumenta la presión sobre las víctimas para que paguen el rescate, sino que también asegura que los datos robados estén ampliamente disponibles para cualquier interesado, maximizando el impacto y el daño reputacional.
Hasta el momento, el portal de extorsión de Underground lista a 17 víctimas, la mayoría de las cuales son empresas estadounidenses. Si bien el ataque a Casio podría parecer un incidente más en la creciente lista de ciberataques, existe la posibilidad de que esto marque un punto de inflexión para Underground, catapultando al grupo a un nivel de actividad más elevado y con mayor alcance.
Repercusiones para Casio
El ataque a Casio es significativo no solo por la naturaleza confidencial de los datos filtrados, sino por el impacto potencial en su fuerza laboral, su propiedad intelectual y su reputación corporativa. Documentos legales y acuerdos de confidencialidad filtrados pueden poner en riesgo futuros proyectos e innovaciones, mientras que la exposición de información sobre patentes y proyectos podría ser aprovechada por competidores o actores malintencionados.
Además, la filtración de datos personales de empleados, como nóminas e información de contacto, representa una amenaza a la privacidad y seguridad individual. Los trabajadores afectados podrían enfrentarse a problemas como el robo de identidad o el fraude financiero, lo que aumentaría la presión sobre Casio para gestionar una crisis que va más allá de sus sistemas tecnológicos.
Escenario futuro
Aunque el grupo Underground ha sido una operación de ransomware relativamente pequeña en comparación con otros actores como LockBit o BlackCat, el ataque a Casio podría señalar una expansión significativa en sus actividades. El hecho de que se filtren datos tan sensibles de una empresa de la talla de Casio sugiere que Underground podría estar buscando aumentar su perfil y atraer más atención en el mundo de la ciberdelincuencia.
Si bien la industria tecnológica ha sido blanco de numerosos ataques de ransomware en los últimos años, las empresas deben mantenerse en alerta ante las tácticas más sofisticadas de los grupos emergentes. El uso de vulnerabilidades en software ampliamente utilizado, como Microsoft Office, y la capacidad de mantener acceso a los sistemas durante largos periodos hacen que la amenaza de Underground sea particularmente peligrosa.
La respuesta de Casio y la rapidez con la que puedan contener este incidente determinará en gran medida el impacto final en su negocio. Mientras tanto, los expertos en ciberseguridad continúan monitoreando de cerca el desarrollo de Underground y sus posibles movimientos futuros en el panorama de las amenazas globales.
Conclusión
El ataque de ransomware a Casio por parte del grupo Underground ha expuesto datos críticos y ha demostrado la capacidad de este grupo emergente para causar daños sustanciales. A medida que las empresas tecnológicas se enfrentan a amenazas cada vez más sofisticadas, la necesidad de medidas de ciberseguridad avanzadas es más urgente que nunca. Casio ahora se enfrenta al reto de mitigar el impacto de este ataque, proteger la privacidad de sus empleados y asegurar su propiedad intelectual mientras Underground sigue ampliando su lista de víctimas y perfeccionando sus tácticas.
