La contratista Estadounidense, Sol Oriens, ha reportado ser víctima de un ataque informático ligado con un ransomware, hasta el momento se afirma que el principal responsable es la banda de REvil y actualmente se encontrarían subastando los datos robados durante el ataque.
Sol Oriens se describe como «ayudando al Departamento de Defensa y al Departamento de Organizaciones de Energía, Contratistas Aeroespaciales y Empresas de Tecnología a llevar a cabo programas complejos y de alto nivel«. Pero según el corresponsal de la CNBC, Eamon Javers (a través de un enlace de ofertas laborales relacionadas con la organización afectada) se puede intuir que trabajan en materias relacionadas a temas nucleares. Esto es debido a la información que presenta el portal, en donde se buscan a gerentes de programas, consultores y un «experto en la materia del sistema de armas nucleares» para trabajar con la Administración Nacional de Seguridad Nuclear (NNSA).
Durante la semana pasada, los operadores de REvil Ransomware agregaron en su blog datos relacionados con Sol Oriens, la cual estaba siendo subastada al mejor postor.
Según se reporta, los datos que lograron robar REvil Ransomware son los siguientes:
- Datos comerciales.
- Datos de Empleados.
- Salarios.
- Nóminas.
- Contratos.
- Número del seguro social.
Como una forma de presionar a la empresa contratista Sol Oriens para que realice el pago del rescate de sus activos digitales, los operadores de REvil amenazaron con compartir «la documentación y datos relevantes con agencias militares de nuestra elección«.

Según Eamon Javers (corresponsal senior en Washington de CNBC) en un comunicado compartido en su cuenta de Twitter, Sol Oriens confirmó haber recibido víctima de un ciberataque en el mes de mayo del presente año, que logró comprometer la red corporativa.
Cito algunos de los tweet de su Hilo sobre el caso Sol Oriens:
More: “The investigation is ongoing, but we recently determined that an unauthorized individual acquired certain documents from our systems.”
— Eamon Javers (@EamonJavers) June 10, 2021
«La investigación se encuentra en curso, pero recientemente hemos determinamos que una persona no autorizada adquirió ciertos documentos de nuestros sistemas»
“Those documents are currently under review, and we are working with a third-party technological forensic firm to determine the scope of potential data that may have been involved.”
— Eamon Javers (@EamonJavers) June 10, 2021
«Esos documentos se encuentran actualmente bajo revisión y estamos trabajando con una firma forense tecnológica de terceros para determinar el alcance de los datos potenciales que pueden haber estado involucrados».
Como muchos otros operadores de ransomware que existen en la actualidad, se cree que la banda de REvil opera principalmente en Rusia, y en los ex-países satélites de la Unión Soviética.
Seguiremos actualizando.
La importancia de la seguridad de la información en organizaciones críticas y no críticas
Desde principios del año 2020, hemos estado experimentando un gran cambio relacionado al mundo de Internet y una acelerada transformación digital para seguir con la productividad debido al sars-cov-2 (Covid-19). Lo que ha generado que la infraestructura de toda organización (sin importar el rubro) haya tenido que priorizar la alta disponibilidad, la confidencialidad y la integridad de los mismos para mantener un entorno e trabajo remoto seguro, confiable y accesible. Pero debido a una falta de cultura relacionada al mundo IT, recomendaciones y capacitación a los empleados en materia de seguridad básica, muchas empresas se encuentran actualmente vulnerables a cualquier ataque informático que pueda llevar a cabo una organización cibercriminal o un script kiddie.
El caso de Sol Oriens es un ejemplo claro que sin importar que tipo de organización exista en la actualidad, todas son vulnerables a ser comprometidas, sin importar la seguridad o el bajo perfil que tenga cada una. Hasta el momento se sigue investigando del como los operadores de REvil pudieron acceder a la red corporativa de la organización, pero no sería de extrañar que todo comenzara con alguna campaña de Spear-phishing.
Puede que la información no haya sido «crítico» a nivel nacional (EE.UU) debido a que no se a llegado a filtrar documentos relacionados a materia de armamento nuclear, sino documentos administrativos. Pero nadie puede asegurar que en algún momento esto en verdad pueda llegar a ocurrir, y ninguna nación se encuentra exenta a sufrir este tipo de ataques. Toda información relacionada a materia de armamento, energía, salud, datos personales e información clasificada de estado, son activos de alta importancia, los cuales deben ser almacenados en redes diferentes para su mayor seguridad, pero la posibilidad que alguna organización (ya sea estatal, pública y/o privada) sea comprometida por algún actor de amenazas, que logre obtener los datos administrativos y documentación clasificada es bastante alta.
La capacitación de los empleados contra la detección de amenazas y el trabajo proactivo de identificar posibles brechas de seguridad en algún ambiente IT, es primordial para disminuir la posibilidad de ser comprometidos y exponer información de alto nivel a todo público.
Más información:
https://www.cnbc.com/2021/06/11/revil-hacker-group-attacks-sol-oriens-with-ransomware.html
https://heimdalsecurity.com/blog/nuclear-contractor-sol-oriens-hit-by-revil-ransomware-attack/
https://twitter.com/EamonJavers/status/1403094483676319745
https://lensa.com/sol-oriens-llc/jobs/c/d275e6522746a584bae986297bccf16d1a070c51#jobs

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.