Sopra Steria no ha facilitado información detallada sobre el incidente, limitándose a señalar que ha tomado las medidas de seguridad adecuadas para atenuar los efectos del mismo. En una declaración en su sitio web, la empresa informa que sus equipos de seguridad cibernética están trabajando para asegurar que las operaciones comerciales vuelvan a la normalidad lo antes posible.
Asimismo, señala que especialistas externos auditan la situación y las autoridades policiales pertinentes también han sido informadas sobre el incidente. “Sopra Steria está en estrecho contacto con sus clientes y socios, así como con las autoridades correspondientes”, dijo la empresa.
Sopra Steria, empresa francesa con sede en París, es conocida por prestar servicios de integración de sistemas, desarrollo de programas informáticos y consultoría a clientes de todo el mundo. Entre los grandes clientes de la empresa en el sector financiero se encuentran HSBC, Bank of China, RBS, BNP Paribas, Hyundai Capital y Banque Postale. La empresa también opera una sociedad británica en participación con el Ministerio de Salud del Reino Unido y el NHS (Servicio Nacional de Salud).
El Grupo tiene más de 46.000 empleados en 25 países, y generó ingresos de 4.400 millones de euros el año pasado.
Sopra Steria se muestra reticente a discutir la naturaleza del ciberataque. Sin embargo, medios de comunicación galos afirman que la empresa habría sido víctima del ransomware Ryuk, y que ya habría un intento de extorsión en curso.
Las fuentes incluso comentan que delincuentes habrían comprometido la infraestructura de Active Directory de Sopra Steria, para luego cifrar su red.
En una entrada de blog, el experto en seguridad cibernética Graham Cluley dijo que el incidente de seguridad es desafortunado para una compañía como Sopra Steria, que precisamente tiene una división especializada en ayudar a los clientes a “proteger la información sensible, y prevenir costosas brechas de datos”. Según Cluley, “naturalmente, los clientes corporativos de Sopra Steria, algunos de los cuales confían en la empresa para operar sus procesos de negocio principales y sistemas de TI, estarán preocupados y tendrán muchas preguntas sobre la naturaleza del ataque”.
Recientemente, la empresa Sophos publicó un artículo donde se refiere precisamente al ransomware Ryuk. “They’re back: inside a new Ryuk ransomware attack”. El artículo, donde se deconstruye un ataque reciente, indica que los atacantes de Ryuk utilizaban versiones actualizadas de herramientas legítimas y ampliamente disponibles para comprometer una red específica y desplegar el ransomware. Sorprendentemente, el ataque progresó a mucha velocidad, a las tres horas y media de que un empleado abriera un archivo adjunto de un email malicioso de phishing, los atacantes ya estaban llevando a cabo un reconocimiento activo de la red. En 24 horas, los cibercriminales tenían acceso a un controlador de dominio y se preparaban para lanzar Ryuk.
“Nuestra investigación sobre el reciente ataque con el ransomware Ryuk revela a qué se enfrentan los sistemas de defensa. Los equipos de seguridad deben estar en alerta 24 horas al día, siete días a la semana y tener un conocimiento completo de las últimas herramientas y comportamientos de los cibercriminales. Los resultados de la encuesta muestran claramente el impacto de estas demandas casi imposibles. Entre otras cosas, las empresas que han sido víctimas de un ataque de ransomware muestran una confianza profundamente dañada respecto a su propia concienciación frente a las ciberamenazas. Sin embargo, su experiencia con el ransomware también parece haberles dado una mayor apreciación sobre la importancia de los profesionales de seguridad cualificados, así como un sentido de urgencia para introducir en sus sistemas de seguridad soluciones de threat hunting dirigidas por humanos, para comprender e identificar mejor los comportamientos actuales de los cibercriminales”, dijo hester Wisniewski, científico investigador principal de Sophos. “Sean cuales sean las razones, está claro que cuando se trata de seguridad, una empresa nunca vuelve a ser la misma tras ser golpeada por un ciberataque de ransomware”.