Black Basta reivindica en la dark web el ataque a Ayesa y el robo de 4,5 TB en datos

El grupo de cibecrimen Black Basta acaba de reivindicar en la dark web la autoría del “incidente de ciberseguridad” que sufrió hace un par de semanas la multinacional de consultoría e ingeniería Ayesa, que afectó a varios de sus servidores internos y que provocó la interrupción total de las comunicaciones con sus clientes, incluidos varios servicios de la Junta de Andalucía, una autoría que, aunque ya se sospechaba, confirmó el pasado jueves el responsable de ciberseguridad del grupo, Álvaro Fraile, en el Congreso Internacional de Cibercrimen que se desarrolló en Sevilla.

Black Basta, con 4,5TB en datos, algunos confidenciales, sustraídos a Ayesa, confirma así que ha sido el autor de una decena de ciberataques que se han producido a lo largo de las dos últimas semanas en empresas de ámbito internacional, varias de ellas en sectores considerados críticos, como las energías, instalaciones y componentes electrónicos, ingeniería industrial y construcción, y la salud (laboratorios clínicos), además del de la consultoría, con gran relevancia en la gestión de datos, de la multinacional sevillana.

Además de la española Ayesa, las otras nueve empresas que han sido objeto de ciberataques por parte de Black Basta son tres norteamericanas (Olson & Co. Steel, Integrated Design Solutions y CMAC Transportation), dos italianas (GAI Macchine Imbottigliatrici y Territorio Energia Ambiente S.P.A), una inglesa (Active-PCB Solutions Ltd), una alemana (SYN LAB), otra suiza (Swisspro AG) y una canadiense (Provencher Roy).

BlackBasta #ransomware group has added 10 new victims to their #darkweb portal.

- GAI Macchine Imbottigliatrici ??
- Active-PCB Solutions Ltd ??
- SYN LAB ??
- Ayesa ??
- Territorio Energia Ambiente S.P.A ??
- Olson & Co. Steel ??
- Swisspro AG ??
- Provencher Roy ??
-… pic.twitter.com/3iSl4PWGLr

— FalconFeeds.io (@FalconFeedsio) May 4, 2024

Según han revelado a través de las redes sociales, Black Basta ha "robado" 4,5 terabytes de datos confidenciales, referidos a datos de la empresa, datos personales de los empleados, detalles de diferentes proyectos, CAD "y mucho más", y que amenazan con ser expuestos en la web del grupo de ciberdelincuentes.

??Ayesa víctima del grupo de ransomware BlakBasta

4,5TB datos confidenciales robados

1. Datos de la empresa
2. Datos personales de los empleados
3. Proyectos, CAD
Y mucho más... pic.twitter.com/4IMyoF0jdH

— elhacker.NET (@elhackernet) May 6, 2024

La autoría de Black Basta ya había sido reconocida oficialmente por Álvaro Fraile Hernández, Global Cybersecurity Services Director at Ayesa, el pasado jueves en la ponencia sobre ciberseguridad y empresa del I Congreso Internacional de Cibercrimen organizado por el Colegio de Abogados de Sevilla y la Universidad Pablo de Olavide, en la que confirmaba las sospechas que ya había desvelado Viva Sevilla.

Ayesa fue la protagonista involuntaria de la ponencia tras el “incidente de ciberseguridad” que había sufrido una semana antes y que Fraile, en un ejercicio de transparencia que hasta sus propios compañeros de mesa, Juan Carlos Ferré Olive, catedrático de Derecho Penal de la Universidad de Huelva, y Julián Delgado Piraquive, Head of Offensive Security & MDR de Factum, además del abogado Jesús Fernández Acevedo, delegado de Protección de Datos en ICA-Cordoba y experto en Compliance Officer, la extensa, complicada e internacional relación de normas que debe cumplir una empresa para no incurrir en delitos penales y administrativos cuando se mueven en el mundo digital.

No pagar nunca un rescate

Todos los expertos, incluido el propio Fraile, coincidieron en una recomendación clave para las empresas que sufren un ciberataque: no pagar nunca un rescate, primero porque nadie te garantiza al cien por cien que la extorsión no continúe en un futuro y, segundo, porque una vez se es víctima, lo más práctico es asumir la brecha de seguridad, evaluar los daños, restaurar los sistemas y minimizar los posibles efectos, además de comunicar, tanto interna como externamente (clientes) la incidencia y, si hay filtración de datos, a la autoridad competente, que será la que determine si hay sanción o no.

Uno de los servicios que ofrece Ayesa es, precisamente, es el de ciberseguridad y lo han tenido que poner en marcha y Fraile sacó pecho de su protocolo, más fácil en su caso puesto que no tuvieron que buscar un servicio externo y los profesionales, incluidos los forenses tan necesarios para evaluar el alcance, forman parte de su compañía. “Primero nos centramos en mitigar y evitar la propagación, actuamos rápido porque teníamos los recursos, es bueno saber a quién hay que llamar y tenerlos en poco tiempo, como los forenses”, relataba Fraile, apuntando que una vez confirmada la brecha de seguridad y en virtud de la gobernanza que aplican se notificó el incidente, el cómo, cuándo y qué, a los clientes y a las autoridades, restaurando los sistemas, gracias a las copias de seguridad, lo antes posible.

Fraile lanzó además un mensaje para navegantes: existen dos tipos de empresa, “los que hemos sido atacados y los que va a ser atacados”, por lo que instó a “normalizar” los ciberataques para estar preparados frente a lo que suceda, en un entorno digital en el que “todos estamos expuestos” y en el que las empresas tienen que decidir si asumen una inversión en ciberseguridad que ya ha dejado de ser un coste.

Eso sí, aunque los presentes en la mesa sí que destacaron el coste en reputación e imagen de empresa que supone un ataque de este estilo, que también se debe evaluar, Fraile no avanzó ningún detalle de qué tipo de datos o qué nivel de penetración, incluido el encriptado o no, tuvo el ciberataque para Ayesa, que tampoco revela Black Basta, que se limita a confirmar que la multinacional sevillana fue uno de sus diez ataques de las últimas semanas.