Home Ciberguerra Un ataque cibernético a Bayer, no mostró signos de robo de datos

Un ataque cibernético a Bayer, no mostró signos de robo de datos

A medida que las acusaciones de ataques a Estados-nación por parte del gobierno chino se hacen más frecuentes, Bayer, el mayor fabricante de drogas de Alemania, anunció que ha logrado contener lo que parece haber sido un ciberataque desde China, según el reporte de Reuters.

El ataque, que fue inicialmente reportado por las emisoras alemanas BR y NDR, se parece al trabajo de Wicked Panda, un prominente grupo  chino de delincuentes cibernéticos que usó el malware de Winnti.

“Nuestro Centro de Defensa Cibernética detectó indicios de infecciones de Winnti a principios de 2018 e inició análisis exhaustivos. No hay evidencia de salida de datos. Nuestros expertos del Cyber Defense Center han identificado, analizado y limpiado los sistemas afectados, trabajando en estrecha colaboración con la Organización Alemana de Seguridad Cibernética (DCSO) y la Oficina Estatal de Policía Criminal de Renania del Norte-Westfalia. Las investigaciones de la fiscalía de Colonia están en curso”, escribió un portavoz de Bayer en un correo electrónico.

Durante varios años, el grupo avanzado de amenazas persistentes (APT) ha estado dirigiéndose activamente a un amplio espectro de víctimas en todo el mundo. En 2018, la investigación de CrowdStrike sugirió que el grupo es “contratistas que apoyan operaciones de alta prioridad según sea necesario”, añadiendo que el grupo tenía “seguridad operacional mejorada y TTPs anti-análisis, evidenciados por el uso de claves de descifrado específicas de la máquina”.

Sin embargo, la atribución en estos ataques puede ser desafiante. “Aunque la teoría predominante es que el atacante o atacantes están vinculados a China basándose en el targeting y en algunos análisis previos del rootkit de Winnti, está lejos de ser concluyente. El malware de Winnti existe desde hace unos años, tiempo suficiente para ser compartido y reutilizado por un grupo de actores de amenazas poco afiliado, que puede o no tener apoyo estatal en este caso”, indicó Mark Orlando, director de tecnología de las soluciones de protección cibernética de Raytheon.

Aún así, Orlando aplaudió la respuesta integral de Bayer, independientemente de la fuente o los motivos del ataque. “Parece claro en este caso que eso fue lo que hizo Bayer, y luego proporcionó las pruebas a las fuerzas de seguridad para que pudieran sacar sus propias conclusiones.”

El mantenimiento de la seguridad operativa y la divulgación de la información sólo a aquellos que necesitan conocerla mientras ejecutan una respuesta medida es a menudo un reto para las organizaciones que descubren que han sido violadas. Orlando dijo: “El hecho de que Bayer mantuviera este incidente en secreto y dejara los sistemas infectados en línea para apoyar una investigación en curso hace que este sea un interesante estudio de caso en respuesta a incidentes y divulgación. Con estas medidas, el equipo de seguridad de Bayer pudo determinar el alcance del incidente, analizar el malware de sus sistemas e idear formas de detectar infecciones adicionales antes de que el incidente se hiciera público”.

Con información de: eldiario.es