Acer recibe ataque de ransomware de 50 millones de dólares

El gigante informático Acer se ha visto afectado por un ataque de ransomware REvil en el que los actores de la amenaza exigen el mayor rescate conocido hasta la fecha, 50.000.000 de dólares.

Acer es un fabricante taiwanés de electrónica y computadoras conocido por sus computadoras portátiles, de escritorio y monitores. Acer emplea aproximadamente a 7.000 empleados y ganó $ 7.8 mil millones en 2019.

Ayer, la banda de ransomware anunció en su sitio de filtración de datos que habían violado Acer y compartieron algunas imágenes de archivos presuntamente robados como prueba.

Estas imágenes filtradas son para documentos que incluyen hojas de cálculo financieras, saldos bancarios y comunicaciones bancarias.


En respuesta a las consultas de BleepingComputer, Acer no proporcionó una respuesta clara sobre si sufrieron un ataque de ransomware REvil, diciendo en cambio que "informaron situaciones anormales recientes" a las LEA y DPA relevantes.

Puede leer su respuesta completa a continuación:

"Acer monitorea rutinariamente sus sistemas de TI, y la mayoría de los ataques cibernéticos están bien defendidos. Compañías como nosotros estamos constantemente bajo ataque, y hemos informado de situaciones anormales recientes observadas a las autoridades policiales y de protección de datos relevantes en varios países".

"Hemos estado mejorando continuamente nuestra infraestructura de ciberseguridad para proteger la continuidad del negocio y la integridad de nuestra información. Instamos a todas las empresas y organizaciones a que se adhieran a las disciplinas y mejores prácticas de ciberseguridad, y estén atentos a cualquier anomalía en la actividad de la red". - Acer.

En las solicitudes de más detalles, Acer dijo que "hay una investigación en curso y por el bien de la seguridad, no podemos comentar sobre los detalles".

Después de publicar nuestra historia, Valery Marchive de LegMagIT descubrió la muestra de ransomware REvil utilizada en el ataque de Acer que exigía un enorme rescate de 50 millones de dólares.

Poco después, BleepingComputer encontró la muestra y puede confirmar que, según la nota de rescate y la conversación de la víctima con los atacantes, la muestra es del ciberataque a Acer.


En las conversaciones entre la víctima y REvil, que comenzaron el 14 de marzo, el representante de Acer mostró conmoción por la enorme demanda de 50 millones de dólares.

Más adelante en el chat, el representante de REvil compartió un enlace a la página de fuga de datos de Acer, que era secreta en ese momento.

Los atacantes también ofrecieron un 20% de descuento si el pago se realizaba antes del miércoles pasado. A cambio, la banda de ransomware proporcionaría un descifrador, un informe de vulnerabilidad y la eliminación de los archivos robados.

En un momento, la operación REvil ofreció una advertencia críptica a Acer "para que no repita el destino del SolarWind".

La demanda de 50 millones de REvil es el mayor rescate conocido hasta la fecha, siendo el anterior el rescate de $ 30 millones del ciberataque de Dairy Farm , también por REvil.

Posible explotación de Microsoft Exchange

Vitali Kremez le dijo a BleepingComputer que la plataforma de ciberinteligencia Andariel de Advanced Intel  detectó que la pandilla Revil recientemente apuntó a un servidor Microsoft Exchange en el dominio de Acer.

"El sistema de ciberinteligencia Andariel de Intel avanzado detectó que un afiliado de REvil en particular persiguió el armamentismo de Microsoft Exchange", dijo Kremez a BleepingComputer.


Los actores de amenazas detrás del ransomware DearCry ya han utilizado la vulnerabilidad ProxyLogon para implementar su ransomware, pero son una operación más pequeña con menos víctimas.

Si REvil explotara las vulnerabilidades recientes de Microsoft Exchange para robar datos o cifrar dispositivos, sería la primera vez que una de las operaciones de ransomware de caza mayor utiliza este vector de ataque.

Actualización 19/03/21 2:45 PM: actualizado con información de la muestra de ransomware Acer descubierta.

Fuente: BleepingComputer