Con el ataque ransomware de Garmin aún candente, la ciberseguridad de una empresa vuelve a ser noticia. Esta vez le ha tocado a Canon, la mítica firma fotográfica que recientemente intentó romper el mercado con sus increíbles Canon R5 y R6. Según BleepingComputer, Canon habría sido atacada con un ransomware y habría sufrido un robo de 10 terabytes de datos.
Este ataque habría afectado a numerosos servicios de la firma, como serían su correo electrónico, su plataforma de Microsoft Teams y dominios web de Estados Unidos. El sitio image.canon sufrió una parada el día 30 de juliuo y durante 6 días estuvo inoperativa hasta el día 4 de agosto.
Se ha confirmado que el ransomware elegido para este ataque sería Maze, un ya conocido en el sector y que consiste en un software más pensado para el sigilo y el robo de datos de forma subterfugia.
Canon sufre un ataque ransomware
Canon EOS R6.
Canon España ha detallado a Omicrono hechos importantes sobre el ataque en este comunicado:
"Tras la investigación de image.canon, hemos identificado que algunos de los archivos de imágenes de fotos y vídeos guardados en el almacenamiento a largo plazo de 10 GB antes del día 16 de junio de 2020 se han perdido. Podemos confirmar que las miniaturas de las imágenes fijas de esos archivos no se han visto afectadas, y no ha habido ninguna fuga de datos de imágenes.
Después de haber resuelto el problema, renudamos el servicio de image.canon el 4 de agosto de 2020. Estamos contactando con todos los clientes afectados. Somos conscientes de que Canon USA está experimentando problemas en el sistema -se está llevando a cabo una investigación-. Sin embargo, podemos confirmar que esto no está relacionado con la pérdida de datos que experimentamos en image.canon a principios de esta semana. Puedes encontrar más información en nuestra página web."
La actualización de estado del sitio image.canon mencionaba que se produjo pérdida de datos para los usuarios, pero "no hubo fugas de datos de imágenes". Una fuente se ha puesto en contacto con el medio y compartió una imagen de una notificación de toda la empresa desde el departamento TI de Canon, asegurando que había "problemas de sistema generalizados que afectan a múltiples aplicaciones, equipos, correo electrónico y otros sistemas pueden no estar disponibles en este momento".
Si bien los primeros problemas de Canon no fueron causados por Maze, los propios operadores del ransomware han confirmado que ellos mismos realizaron el ataque por la mañana y que robaron 10 terabytes de datos, entre los que se incluían bases de datos privadas, etcétera.
Como es lógico, los perpetradores del ataque se negaron a compartir más información del mismo; faltan datos, como la cantidad del rescate, la prueba de que ha habido datos robados y la cantidad de dispositivos encriptados, y si los dispositivos de Canon de los usuarios sufrirán problemas.
El ransomware Maze
Canon EOS R5.
Mientras que WastedLocker, el ransomware que afectó a Garmin, tiene un tipo de uso mucho más agresivo con las empresas, Maze tiene un concepto más destinado al sigilo. Este ransomware está pensado para empresas pero en vez de atacarlas de forma directa, compromete unos cuantos equipos y luego se extiende sigilosamente a través de las redes de dispositivos hasta que obtiene acceso a una cuenta de administrador y, por ende, al responsable del dominio de Windows del sistema.
En este proceso Maze no se limita a encriptar los archivos, sino que además roba archivos no cifrados de servidores y copias de seguridad, para luego cargarlos en los servidores de los responsabnles del ransomware. Una vez robado todo, Maze encripta todos los archivos desplegando el ransomware en toda la red para encriptar todos los dispositivos.
Lo peor es que si la víctima no paga el rescate, Maze publica los datos robados en un sitio creado específicamente para ello, poniendo en grave peligro los secretos empresariales de las firmas afectadas.