BHI Energy, proveedor especializado de servicios de ingeniería y soluciones de personal que respalda unidades de generación de energía de petróleo y gas, nuclear, eólica, solar y fósil, e instalaciones de transmisión y distribución de electricidad, privadas y gubernamentales, y que es parte de Westinghouse Electric Company, realizó una muestra de transparencia al publica cómo la banda de ransomware Akira logró infiltrarse en sus redes y robar 700 gigabytes de datos en un incidente registrado en mayo de 2023.
En una notificación del acceso ilícito enviado por BHI Energy a clientes afectados, la compañía proporcionó información detallada sobre cómo la banda de ransomware Akira violó su red.
La información fue recolectada gracias al trabajo de una firma de ciberseguridad que apoyó el proceso de mitigación del incidente. La firma de ciberseguridad descubrió que la banda de ransomware Akira obtuvo acceso inicial a las redes de BHI Energy a finales de mayo a través de una cuenta comprometida perteneciente a un contratista externo, lo que hace que el actor de amenazas llegue a «la red interna de BHI a través de una conexión VPN».
De acuerdo al aviso enviado a la agencia de protección del consumidor del Estado de Iowa, una semana después del acceso inicial, el actor de amenazas realizó un reconocimiento de la red interna en dos ocasiones diferentes.
Entre el 20 y el 29 de junio, los atacantes comenzaron a filtrar 690 gigabytes de datos -767 mil archivos- durante nueve días, incluyendo la base de datos del Active Directory de BHI. Finalmente, el 29 de junio, después de haber robado todos los datos que pudieron de la red de BHI, los actores de amenazas implementaron el ransomware Akira en todos los dispositivos para cifrar archivos. Fue entonces cuando el equipo de TI de BHI se dio cuenta de que la empresa había sido comprometida.
El actor de amenazas fue eliminado de la red de BHI en julio y la empresa tomó varias medidas para proteger su entorno. Dado que la solución de copia de seguridad en la nube de BHI no se vio afectada, la empresa pudo recuperar datos sin necesidad de una herramienta de descifrado de ransomware.
Al revisar sus sistemas, BHI descubrió que los datos afectados incluían información personal como nombres completos, fechas de nacimiento, números de seguro social e información de salud de 896 residentes del Estado de Iowa, todos los cuales fueron notificados del incidente.
Entre las múltiples medidas de mitigación implementadas, BHI reforzó sus medidas de seguridad imponiendo autenticación multifactor en el acceso VPN, realizando un restablecimiento de contraseña global, ampliando la implementación de herramientas EDR y AV para cubrir todas las secciones de su entorno y desmantelando algunos sistemas heredados (sistemas legacy).