(https://i.imgur.com/VvSn6xy.jpeg)
Un joven de 25 años de California, identificado como Ryan Kramer y conocido en línea como "NullBulge", se ha declarado culpable de un grave incidente de ciberataque y robo de datos contra The Walt Disney Company. El atacante logró acceder de forma no autorizada a canales internos de Slack y exfiltrar más de 1,1 terabytes (TB) de información confidencial.
El Departamento de Justicia de EE. UU. (DOJ) confirmó que el ataque se originó tras la creación y distribución de un programa malicioso a inicios de 2024. Kramer promocionó el software en GitHub y otras plataformas como una supuesta herramienta de generación de imágenes mediante inteligencia artificial, pero en realidad se trataba de un malware diseñado para robar credenciales y datos sensibles de los dispositivos en los que se instalaba.
Acceso no autorizado a Slack mediante malware ocultoDe acuerdo con el DOJ, uno de los afectados fue Matthew Van Andel, un empleado de Disney que, sin saberlo, descargó y ejecutó el software malicioso en su equipo. Al hacerlo, Kramer obtuvo acceso a su ordenador y, específicamente, a las contraseñas almacenadas en su gestor de contraseñas 1Password.
Con estas credenciales robadas, Kramer logró infiltrarse en los canales internos de Slack de Disney, accediendo a miles de canales no públicos. A partir de mayo de 2024, descargó aproximadamente 1,1 TB de datos corporativos sensibles, incluyendo mensajes, archivos, proyectos confidenciales, código fuente, imágenes inéditas y enlaces a herramientas internas de Disney.
Extorsión y filtración de datos en BreachForumsLuego del robo de datos, Kramer intentó extorsionar a Van Andel, haciéndose pasar por un supuesto grupo hacktivista ruso llamado NullBulge. Le advirtió que si no cooperaba, su información personal y los datos robados de Disney serían publicados en línea.
Ante la falta de respuesta, el 12 de julio de 2024, NullBulge publicó un mensaje en el conocido foro de cibercriminales BreachForums, bajo el título "DISNEY INTERNAL SLACK". En dicho post, el atacante reveló la magnitud del ataque:
Citar"1,1 TiB de datos. Casi 10.000 canales, todos los mensajes y archivos posibles, volcados. Proyectos inéditos, imágenes y código en bruto, algunos inicios de sesión, enlaces a páginas web / API internas, ¡y más! Diviértete revisándolo, hay mucho allí".
La publicación causó gran preocupación en la comunidad de ciberseguridad, ya que incluía referencias a datos altamente sensibles y herramientas internas no divulgadas públicamente por Disney.
Cargos penales y consecuencias legales para el atacanteRyan Kramer enfrenta dos cargos federales: uno por acceso no autorizado a una computadora para obtener información y otro por amenazar con dañar una computadora protegida. Cada uno de estos cargos conlleva una pena máxima de hasta cinco años de prisión en una cárcel federal.
Además, Kramer admitió que al menos otras dos personas descargaron su malware, lo que le permitió acceder también a sus dispositivos. El FBI continúa investigando estos casos adicionales para determinar la extensión completa de la operación de Kramer.
Su primera audiencia en la corte federal de Los Ángeles está programada para las próximas semanas.
Disney, Slack y las implicaciones en la ciberseguridad corporativaEste incidente pone de relieve los riesgos asociados con plataformas de colaboración empresarial como Slack, especialmente cuando se usan de forma intensiva por empresas como Disney para manejar información sensible. También destaca el creciente uso de malware disfrazado de herramientas legítimas basadas en inteligencia artificial como método para comprometer dispositivos de empleados.
Empresas de todos los sectores deben reforzar sus estrategias de ciberseguridad corporativa, implementar sistemas de detección de amenazas avanzadas, y capacitar a su personal en la identificación de software potencialmente malicioso.
En conclusión, el caso de Ryan Kramer y el robo de 1,1 TB de datos internos de Disney mediante acceso a Slack es uno de los ciberataques más relevantes de 2024 hasta la fecha. El uso de malware disfrazado, la explotación de credenciales robadas y la publicación masiva de información en foros de hacking refuerzan la urgencia de adoptar medidas más estrictas para proteger los entornos digitales corporativos.
Fuente: https://www.bleepingcomputer.com/