Acer parece haber sido afectado por el ransomware de Windows

El sexto fabricante de PC más grande del mundo, Acer, fue afectado por el ransomware Windows REvil, también conocido como Sodinokibi, y la compañía con sede en Taiwán dice que ha informado de “recientes situaciones anormales observadas” a las fuerzas del orden. Los productos de Acer incluyen computadoras de escritorio, computadoras portátiles, tabletas, servidores, dispositivos […]

El sexto fabricante de PC más grande del mundo, Acer, fue afectado por el ransomware Windows REvil, también conocido como Sodinokibi, y la compañía con sede en Taiwán dice que ha informado de “recientes situaciones anormales observadas” a las fuerzas del orden.

Los productos de Acer incluyen computadoras de escritorio, computadoras portátiles, tabletas, servidores, dispositivos de almacenamiento, dispositivos de realidad virtual, pantallas, teléfonos inteligentes y periféricos, así como computadoras y accesorios para juegos bajo su marca Predator.

La compañía es el sexto proveedor de PC más grande del mundo por unidades de ventas a enero de 2021, según las estadísticas de la firma de analistas de tecnología Gartner.

En una declaración enviada a varias organizaciones de medios, Acer dijo que monitoreaba rutinariamente sus sistemas de TI y que la mayoría de los ataques cibernéticos estaban “bien defendidos”.

REvil ransomware dice que golpeó a Acer, Acer informa “situaciones anormales”

La operación de ransomware REvil afirma haber robado datos no cifrados después de piratear el gigante de la electrónica y las computadoras Acer.

La banda de ransomware anunció en su sitio de filtración de datos que habían violado Acer y compartieron algunas imágenes de archivos presuntamente robados como prueba. Esto exige el rescate más alto conocido hasta la fecha, 50 millones de dólares estadounidenses. Si el fabricante de la computadora no paga, los delincuentes amenazan con publicar los datos copiados y cifrados de Acer en su sitio de filtración de datos.

Estas imágenes filtradas son de documentos que incluyen hojas de cálculo financieras, saldos bancarios y comunicaciones bancarias.

Fuga de datos de Acer en el sitio de ransomware REvil

En respuesta a las consultas de medios internacionales, Acer no proporcionó una respuesta clara sobre si sufrieron un ataque de ransomware REvil, diciendo en cambio que “informaron situaciones anormales recientes” a las LEA y DPA relevantes.

Puede leer su respuesta completa a continuación:

“Acer monitorea rutinariamente sus sistemas de TI, y la mayoría de los ataques cibernéticos están bien defendidos. Compañías como nosotros estamos constantemente bajo ataque, y hemos informado de situaciones anormales recientes observadas a las autoridades policiales y de protección de datos relevantes en varios países”.

“Hemos estado mejorando continuamente nuestra infraestructura de ciberseguridad para proteger la continuidad del negocio y la integridad de nuestra información. Instamos a todas las empresas y organizaciones a que se adhieran a las disciplinas y mejores prácticas de ciberseguridad, y estén atentos a cualquier anomalía en la actividad de la red”. – Acer.

En las solicitudes de más detalles, Acer dijo que “hay una investigación en curso y por el bien de la seguridad, no podemos comentar sobre los detalles”.

Posible explotación de Microsoft Exchange

Vitali Kremez  indicó por su parte que la plataforma de ciberinteligencia Andariel de Advanced Intel  detectó que la pandilla Revil recientemente apuntó a un servidor Microsoft Exchange en el dominio de Acer.

“El sistema de ciberinteligencia Andariel de Intel avanzado detectó que un afiliado de REvil en particular persiguió el armamentismo de Microsoft Exchange”, dijo Kremez a BleepingComputer.

Feed de Andariel que muestra la orientación de Acer Exchange Server

Los actores de amenazas detrás del ransomware DearCry ya han utilizado la vulnerabilidad ProxyLogon para implementar su ransomware, pero son una operación más pequeña con menos víctimas.

Si REvil explotara las vulnerabilidades recientes de Microsoft Exchange para robar datos o cifrar dispositivos, sería la primera vez que una de las operaciones de ransomware de caza mayor utiliza este vector de ataque.