Home > Blog > Informe de (In) Seguridad: Ciberataque a Dell, filtración de la nube de Fortinet, chantaje a un empleado

Informe de (In) Seguridad: Ciberataque a Dell, filtración de la nube de Fortinet, chantaje a un empleado

04.10.2024

Volver

A continuación, reciben un resumen de los incidentes de alto nivel relacionados con la seguridad de la información que se produjeron o se conocieron el mes pasado. En septiembre se produjeron ataques contra proveedores de servicios de seguridad y se filtraron datos de millones de estadounidenses.

Ingeniero a la inversa

Qué ocurrió: un empleado bloqueó los servidores de su empresa y pidió un rescate.

Cómo ocurrió: el 25 de noviembre de 2023, los empleados de una empresa estadounidense recibieron un correo electrónico con el titular «Su red ha sido penetrada». En él se afirmaba que todos los administradores informáticos habían perdido el acceso a sus cuentas y que las copias de seguridad de los servidores habían sido destruidas.

El mensaje también contenía una amenaza. El actor malicioso desconocido prometía apagar 40 servidores de la empresa de forma aleatoria cada día durante 10 días a menos que se le pagaran 20 bitcoins (~750.000 dólares de entonces).

La investigación, coordinada por el FBI, reveló que el atacante era Daniel Rhyne, de 57 años. Trabajaba para la misma empresa como ingeniero.

Gracias a su conocimiento de la empresa y sus sistemas, bloqueó 254 servidores Windows corporativos. Ni los administradores ni los usuarios podían iniciar sesión, ya que las cuentas se habían eliminado o tenían una contraseña diferente a la anterior. Tampoco había acceso a las copias de seguridad, Ryn las había borrado.

El intruso fue identificado gracias a sus búsquedas de datos. El FBI descubrió que Rhyne utilizó una máquina virtual oculta y un portátil personal para aprender a borrar cuentas, borrar registros de eventos y cambiar contraseñas de usuarios de dominios utilizando la línea de comandos.

Como resultado, Rhyne se enfrenta a múltiples cargos que, combinados, podrían dar lugar a 35 años de prisión, así como a una multa de 750.000 dólares.

Red ¿Fuerte?

Lo que ocurrió: El proveedor de Seguridad Informática Fortinet fue víctima de un ciberataque.

Cómo ocurrió: el 12 de septiembre, un desconocido afirmó haber pirateado Fortinet. En un post en un foro alternativo, el actor malicioso informó de que había obtenido 440 GB de datos del servidor Sharepoint de la empresa. El hacker también dejó credenciales para iniciar sesión en el almacenamiento de objetos donde supuestamente se encontraban todos los datos robados, y afirmó que intentó chantajear a Fortinet pero que fue rechazado.

El mismo día, los representantes del gigante de la seguridad informática confirmaron la fuga de datos, informando de que «un individuo obtuvo acceso no autorizado a una pequeña cantidad de datos de clientes que estaban almacenados en una instancia de almacenamiento de archivos en la nube de terceros».

Fortinet también dijo en un comunicado de prensa publicado en su sitio web que «el incidente afectó a menos del 0,3% de su base de clientes y que no ha dado lugar a ninguna actividad maliciosa dirigida a los clientes.»

Si es gratis, no tiene valor

Qué ocurrió: se filtraron al dominio público los datos de 100 millones de estadounidenses.

Cómo ocurrió: MC2 Data es una empresa de verificación de antecedentes. Recoge y compila información sobre las personas a partir de fuentes de acceso público para construir un perfil de una persona. Contiene toda la información sobre antecedentes penales, lugares de trabajo, familiares, etc. Los propietarios y los agentes de seguridad utilizan estos perfiles para saber si está bien cooperar con una persona o no.

Una investigación reciente reveló que la base de datos de 2,2 TB de MC2 Data, con más de 106 millones de registros, estaba a disposición del público en Internet y no estaba protegida por contraseña. Los expertos calculan que la filtración afectó a los datos de 100 millones de estadounidenses. Contenía mucha información diferente, desde nombres completos y direcciones de correo electrónico hasta documentos legales y registros inmobiliarios. La base de datos fue descubierta el 7 de agosto, y se desconoce cuánto tiempo había permanecido en acceso público.

Por el momento, el acceso a la base de datos está cerrado, y aún no hay información oficial de la empresa, pero, presumiblemente, un incidente de este tipo podría producirse debido a un error humano y a una configuración incorrecta del sistema.

BingX ha sido atacada

Qué ha pasado: la bolsa de criptomonedas BingX ha perdido 44 millones de dólares como consecuencia de un ciberataque.

Cómo ocurrió: el 9 de septiembre, los especialistas en seguridad de blockchain notaron actividad sospechosa: se estaban retirando millones de dólares del intercambio BingX. Más tarde se supo que se trataba de un ciberataque, que los propietarios de la Bolsa trataron de ocultar. Escribieron en las redes sociales sobre un cierre temporal debido al "mantenimiento de la billetera", pero luego reconocieron "un acceso anormal a la red, lo que podría indicar un ataque de piratas informáticos a la billetera caliente BingX".

En respuesta al ataque, la empresa comenzó a transferir activos y suspendió las retiradas, y declaró que «ha habido una pérdida menor de activos, pero la cantidad es pequeña y se está calculando actualmente. Sin embargo, varias empresas, entre ellas SlowMist, contratada por la bolsa para realizar una auditoría, descubrieron que la cantidad robada era claramente más grave que «pequeña» y oscilaba entre 44 y 48 millones de dólares.

Posteriormente, la bolsa contrató a especialistas en seguridad de criptomonedas para que rastrearan los movimientos de la moneda robada. También cabe destacar que BingX ofreció al hacker que les pirateó cooperar: transfiera de vuelta todos los fondos robados, y entonces BingX cesará cualquier acoso, y como agradecimiento ofrece el 10% de los activos robados.

¿Los problemas vienen solos?

Lo que ocurrió: Un hacker accedió a datos sensibles de Dell.

Cómo ocurrió: Los días 19, 22 y 25 de septiembre, el mismo hacker publicó tres posts con datos de Dell en un foro en la sombra. En un principio, el pirata afirmó que los datos procedían de diferentes ataques, pero más tarde admitió que sólo había un ataque y que estaba filtrando los datos estratégicamente de forma fragmentada.

El primer post incluía datos de casi 11.000 empleados: 

  • Nombres y apellidos
  • Situación laboral
  • DNI.

 El segundo contenía 3,5 GB de diversos datos sin comprimir: 

  • Tablas de datos de Jira
  • Patrones de migración
  • Información de configuración del sistema
  • Credenciales de usuario
  • Información sobre vulnerabilidades de software
  • Problemas de desarrollo, etc.

 El último mensaje contenía casi 500 MB de imágenes, PDF, vídeos, documentos de proyectos, datos MFA, etc.

Tras el primer incidente, los representantes de Dell dijeron que la empresa era consciente del problema y que había iniciado una investigación. Sin embargo, no hicieron ningún comentario cuando se les preguntó por los hackeos posteriores.
 


Datos personales Fraude Atacante interno

Suscríbase para recibir las novedades y conocer las tendencias del sector. Recibirá consejos sobre como afrontar las fugas de los datos y a los ciberdelincuentes.
© 2025 SearchInform LTD
Todos los derechos reservados.
Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario y para mejorar el rendimiento. Si continúa navegando, está dando su consentimiento para la aceptación de nuestra política de cookies, siga el enlace para mayor información.
OK
POLÍTICA DE COOKIES