Los datos personales de los solicitantes de empleo y el personal de una serie de importantes empresas australianas y agencias gubernamentales han sido potencialmente expuestos en un intento “significativo” de violación de datos e intento de extorsión contra la empresa de contratación australiana Finite.
Puntos clave:
- El grupo responsable de piratear Finite Recruitment, Conti, también estuvo detrás de un reciente ciberataque contra empleados del gobierno de Australia del Sur.
- Conti afirma haber robado más de 300 gigabytes de datos en este ataque
- Los expertos cibernéticos dicen que el grupo es despiadado, sofisticado y cada vez más descarado
Los piratas informáticos han accedido y publicado datos confidenciales que incluyen currículums, ofertas de empleo, contratos, hojas de tiempo y certificados de vacunas, con el objetivo probable de obtener un rescate.
Finite tiene una larga lista de importantes clientes australianos, incluidos Coles, Westpac, AMP y los departamentos de Defensa, Salud y Asuntos Internos.
Conti, el mismo grupo de piratería responsable de la filtración de datos que afectó a hasta 80.000 empleados del gobierno de Australia del Sur divulgada la semana pasada, ha publicado hasta ahora más de 12.000 archivos y amenaza con publicar más.
Un aviso publicado en el sitio web del grupo de piratería, diseñado para extraer un pago de rescate, afirma que se han robado más de 300 gigabytes de datos, incluidos datos financieros, contratos, bases de datos de clientes, números de teléfono, direcciones, pasaportes y una variedad de otra información personal confidencial.
Finite Recruitment dijo en un comunicado enviado a ABC que los datos “se relacionan con un incidente cibernético único que ocurrió en octubre”, y agregó que el incidente aún estaba siendo investigado y que las partes afectadas serían notificadas cuando concluyera la investigación.
“Somos conscientes de que un pequeño subconjunto de los datos de Finite Group se ha descargado y publicado en la web oscura”, dice el comunicado.
Un perfil del Australian Cyber Security Center del grupo de piratería señala que “la información filtrada se aloja en la red The Onion Router (TOR), lo que permite un mayor anonimato para los actores de amenazas de Conti que alojan material obtenido ilícitamente”.
Sin embargo, el grupo parece haber estado publicando más recientemente datos filtrados en un sitio web normal disponible para todos los usuarios de Internet. El ABC pudo ver y acceder a archivos filtrados usando un navegador web estándar.
Los datos ya publicados incluyen los datos personales de los australianos que han buscado empleo a través de la empresa, incluidos currículums, información salarial, verificación de referencias, verificación de antecedentes penales y verificación de visa.
¿Qué organizaciones se ven afectadas?
Una larga lista de empresas, bancos y agencias gubernamentales quedaron atrapadas en la filtración a través de sus vínculos con Finite, incluidos Westpac, ME Bank, Coles, Adairs, AMP, Suez Australia, NBN Co y los departamentos de Defensa, Asuntos Internos y Salud.
Algunos de los clientes de Finite Recruitment contactados por ABC dijeron que estaban al tanto de la filtración, mientras que otros no habían sido notificados.
Un portavoz de salud federal dijo que el departamento utilizó una variedad de empresas de alquiler, incluida Finite Group APAC Pty Ltd, pero no compartió “ningún dato confidencial o clasificado” con esos proveedores.
“El departamento no ha recibido ninguna correspondencia de Finite Group APAC Pty Ltd con respecto a cualquier violación de seguridad o pérdida de datos”, dijo un portavoz.
Coles, que tiene un acuerdo de servicio con Finite Recruitment y figura en los documentos filtrados, dijo que estaba llevando a cabo sus propias investigaciones sobre la infracción.
“Nos hemos comprometido directamente con Finite para comprender qué pasos están tomando para investigar el incidente y asegurar sus sistemas, y para evaluar cualquier impacto en los contratistas o miembros del equipo de Coles”, dijo un portavoz de Coles.
La Universidad Nacional de Australia, que también estaba incluida en la infracción, dijo en un comunicado que no había sido informada de esta infracción de datos, pero agregó que no había nada que sugiriera que sus sistemas estaban actualmente bajo amenaza.
La ABC también se puso en contacto con los departamentos de Defensa y Asuntos Internos, pero ninguno pudo responder a tiempo para su publicación. La ABC también se comunicó con Downer, IBM, AMP, Hostplus y el Centro Australiano de Seguridad Cibernética para obtener comentarios.
¿Quién es Conti y qué quieren?
Conti es una organización criminal con sede en Rusia detrás de las tecnologías de ransomware. En resumen, buscan dinero.
El investigador de seguridad cibernética con sede en Canberra, Robert Potter, dice que Conti es un grupo de piratería altamente profesionalizado que utiliza una variedad de herramientas conocidas para obtener acceso a las redes de su objetivo antes de robar datos y buscar un rescate.
Los ataques de ransomware funcionan cifrando los datos de las víctimas, haciéndolos inaccesibles. Luego, los grupos ofrecerán vender a la víctima una clave de descifrado para volver a acceder a esos datos.
Si la víctima no cede a las demandas de los atacantes, pueden perder permanentemente el acceso a los datos.
También se sabe que los afiliados de Conti utilizan una técnica conocida como “doble extorsión”, que implica amenazar con divulgar los datos robados a menos que se realice el pago.
Potter dijo que el grupo se estaba volviendo más descarado y fue bastante abierto sobre a quién se han dirigido en los últimos tiempos.
Dijo que Conti era cada vez más ideológico, a veces usando puntos de conversación de la política exterior rusa, sugiriendo que esta podría ser una táctica para atraer a las personas que les brindan protección.
Los ataques Conti han sido noticia antes por dirigirse a organizaciones de alto perfil, exigiendo grandes cantidades de dinero como rescate a cambio de aceptar no publicar filtraciones de datos completos.
ProDraft, una compañía de inteligencia y seguridad cibernética que monitorea incidentes de posibles delitos cibernéticos, dijo que desde 2020, había visto datos de 567 compañías diferentes compartidos en el sitio de extorsión de Conti. ProDraft también dice que sus equipos han notado un aumento reciente en los ataques Conti.
¿Cuánto dinero ganan?
Conti también se ofrece como Ransomware-as-a-Service (RaaS). Esto permite a los afiliados usar el ransomware como quieran, siempre que un porcentaje del pago del rescate se comparta con los operadores de Conti como comisión.
La investigación realizada por ProDraft encontró que, desde julio de 2021, Conti ha recibido más de 500 bitcoins en pagos de ransomware que, en el momento de redactar este artículo, valían 32,8 millones de dólares.
Según Potter, Conti es lo suficientemente sofisticado como para adoptar un “enfoque casi actuarial” para determinar los montos del rescate, incluso apuntando a un valor en dólares cercano a lo que creen que cubrirá el seguro de una organización.
Potter dijo que la mayoría de las organizaciones australianas afectadas por ataques de ransomware no pagaron, que es lo correcto.
Sin embargo, estaba al tanto de al menos un gran pago de rescate de una organización con sede en Australia dirigida por Conti.
.