En septiembre de 2024, Kawasaki Europe fue objeto de un ataque a gran escala perpetrado por el grupo de ransomware RansomHub. Este colectivo de ciberdelincuentes, muy conocido por sus sofisticados ataques, reivindicó la autoría del ciberataque amenazando con hacer públicos los datos sensibles robados a la empresa si no se pagaba un rescate. Este ataque ilustra una tendencia creciente entre los ciberdelincuentes a atacar empresas de alto perfil, aprovechando fallos de seguridad para comprometer datos sensibles.
RansomHub apareció en la escena del ransomware en febrero de 2024. RansomHub ya se ha cobrado más de 250 ataques y está emergiendo como un actor importante en la escena de la ciberdelincuencia, ocupando el tercer lugar en 2024 (según Synetis). El grupo opera con un modelo de ransomware como servicio(RaaS). Su estrategia se basa en la doble extorsión: además de cifrar los datos, amenazan con revelar la información robada si no se paga el rescate.
Los sectores empresariales objetivo de RansomHub son muchos y variados. Entre los éxitos más recientes figura el ataque a la famosa casa de subastas Christie’s en mayo de 2024. El último ataque a Kawasaki marca otro hito en los ciberataques en Europa. Estos hechos se producen en un contexto en el que la ciberdelincuencia se profesionaliza cada vez más.
Cronología de los hechos: ataque y reacción inicial de Kawasaki
A principios de septiembre de 2024, Kawasaki Motors Europe (KME) descubrió que sus sistemas informáticos habíansido infiltrados y anunció que había sido objeto de un ciberataque. La empresa declaró que estaba llevando a cabo una investigación en profundidad para evaluar el alcance de la fuga de datos. Se han movilizado equipos de seguridad internos y expertos externos en ciberseguridad para contener la amenaza, evaluar los sistemas comprometidos y restablecer las operaciones críticas. Kawasaki afirmó que todas las operaciones comerciales, incluidos los concesionarios, los proveedores externos y las operaciones logísticas, no se habían visto afectadas por el incidente.
Casi simultáneamente, y aunque Kawasaki no había especificado qué tipo de ciberataque le había afectado, RansomHub reivindicó la autoría del ataque añadiendo a la empresa a su portal de extorsión de la Dark Web. Los ciberdelincuentes afirmaron entonces tener 487 GB de datos de las redes de Kawasaki. La amenaza era explícita: si no se pagaba el rescate, los datos robados se publicarían en Internet, exponiendo a la empresa a importantes riesgos financieros y de reputación. El ajustado plazo dado a Kawasasaki para cumplir las exigencias del grupo de hackers aumenta la presión sobre la empresa para que reaccione con rapidez. Durante el fin de semana, tras el fracaso del intento de extorsión, RansomHub cumplió su amenaza… ¡y los datos se publicaron!
Impacto en la infraestructura de Kawasaki
Según la información recogida por Hackread, los archivos robados por RansomHub incluyen documentos sensibles de Kawasaki, como información financiera, registros bancarios, datos de concesionarios y comunicaciones internas. Entre los archivos filtrados se encuentran directorios titulados «Dealer Lists», «Financing Kawasaki», «COVID» y «Trading Terms». Estos archivos contienen información comercial crítica para la empresa, con fechas recientes hasta principios de septiembre de 2024.
Esta filtración de datos expone a Kawasaki a riesgos significativos, incluyendo consecuencias para sus relaciones comerciales y su imagen pública. La información financiera sensible y las comunicaciones internas también podrían comprometer sus estrategias empresariales a largo plazo. El acceso no autorizado a estos archivos coloca a la empresa en una posición especialmente incómoda frente a sus socios comerciales y clientes. Éstos podrían perder la confianza en la capacidad de Kawasaki para proteger su información…
A pesar de esta intrusión, las operaciones comerciales de Kawasaki no se han visto directamente afectadas. Las redes de distribución, los proveedores externos y los procesos logísticos siguieron funcionando.
Sin embargo, la publicación de los datos podría tener repercusiones a largo plazo, especialmente si esta información es explotada por competidores o vendida a otras partes malintencionadas en la dark web.
Gestión de la crisis y medidas adoptadas por Kawasaki Europe
Tras descubrirse la intrusión a principios de septiembre de 2024, Kawasaki Motors Europe (KME) reaccionó rápidamente contratando a equipos de seguridad internos y a expertos en ciberseguridad externos para evaluar el alcance del incidente y asegurar los sistemas comprometidos. La empresa también puso en marcha medidas para restablecer las operaciones críticas y contener la fuga de datos.
Su principal prioridad era contener la amenaza y minimizar las posibles pérdidas, garantizando al mismo tiempo una rápida reanudación de las operaciones. Aunque Kawasaki ha declarado que sus operaciones comerciales, incluidos concesionarios y proveedores externos, no se vieron directamente afectadas por el ataque, la amenaza que supone la revelación de datos sensibles obligó a la empresa a reaccionar con rapidez y transparencia.
El grupo RansomHub, por su parte, no tardó en añadir a Kawasaki a su portal de extorsión de la dark web, donde publicó parte de los 487 GB de datos que afirma haber exfiltrado. RansomHub dio a Kawasaki un plazo estricto para pagar el rescate, amenazando con publicar todos los datos si no cumplía. Sin embargo, a pesar de esta amenaza, la empresa no pagó el rescate, lo que llevó a la divulgación pública de parte de los datos.
Ante esta situación, Kawasaki intensificó sus esfuerzos para proteger sus sistemas y evitar nuevos ataques. La empresa también se centró en la comunicación abierta con sus socios comerciales y clientes para limitar el impacto reputacional del incidente. El principal reto para Kawasaki sigue siendo ahora contener las repercusiones de esta fuga de datos, sobre todo en términos de protección de la información crítica revelada, que podría tener consecuencias a largo plazo para sus operaciones comerciales y su competitividad en el mercado.
Análisis y recomendaciones: ¿cómo prevenir futuros ataques?
La gestión del ataque por parte de Kawasaki apunta a una serie de puntos críticos para mejorar la ciberseguridad de las grandes empresas frente al ransomware. Para evitar este tipo de ataques en el futuro, es imperativo que las empresas adopten estrategias proactivas de detección y monitorización de intrusiones. Los sistemas de detección precoz de intrusiones, combinados con la monitorización continua de la red, pueden identificar rápidamente comportamientos sospechosos antes de que conduzcan a un compromiso masivo. Las auditorías periódicas de las infraestructuras informáticas garantizan que la protección existente está actualizada y cumple las normas más recientes.
El uso de soluciones de cifrado para los datos sensibles también ayuda a limitar el impacto de una posible filtración, al hacer que la información robada sea inutilizable por los atacantes. La concienciación de los empleados también es esencial. Muchos ciberataques se aprovechan de los errores humanos, especialmente a través del phishing. Formar a los equipos para identificar y denunciar los intentos de phishing puede ser una barrera eficaz contra los ataques de ransomware. El ejemplo de Kawasaki Europe demuestra que ni siquiera las empresas más grandes son inmunes a los ciberdelincuentes y que es necesario reforzar los protocolos de seguridad.
Este ataque ilustra la importancia de una respuesta rápida y de la transparencia ante las partes interesadas. La creación de un equipo dedicado a la gestión de cibercrisis, capaz de evaluar rápidamente la magnitud de la intrusión y de comunicar eficazmente, es crucial para limitar los daños. Prepararse para la gestión de crisis es más esencial que nunca. Kawasaki demostró cierta resistencia en su respuesta al ataque. Una estrategia de comunicación de crisis bien preparada, planes de recuperación de desastres y la colaboración con las autoridades pertinentes pueden mitigar en gran medida las consecuencias de un ciberataque.
Una buena solución: no pagar el rescate y restaurar los datos
Por último, el hecho de que Kawasaki no pagara el rescate plantea dudas sobre la forma más eficaz de responder a los ataques de ransomware. Aunque ceder a las demandas de los delincuentes puede parecer a veces la solución más sencilla para proteger los datos, a menudo fomenta nuevos ataques. Una respuesta basada en la resistencia, la prevención y la disuasión es la mejor estrategia a largo plazo.
También según Hackread, Jason Soroko, director de investigación de Sectigo, lo expresó así: «La declaración oficial de Kawasaki Motors Europe decía que la empresa podía asumir el riesgo de perder sus datos en lugar de pagar el rescate, pero el grupo RansomHub publicó 487 GB de datos supuestamente robados. Esto sugiere, pero no prueba, que Kawasaki optó por no negociar con los atacantes, dando prioridad a la restauración del sistema y la limpieza de los datos.»
También señaló que la actitud de Kawasaki ante este ciberataque podría servir de modelo para otras empresas. En lugar de negociar con los ciberdelincuentes, las empresas deberían centrarse en recuperar su negocio y reforzar sus sistemas de seguridad contra futuros ataques.
En lugar de pagar un rescate, siga el ejemplo de Kawasaki y opte por una solución sostenible. SOS Ransomware pone a tu disposición expertos que pueden recuperar tus datos tras un ataque, permitiéndote volver a tu negocio sin alimentar a los ciberdelincuentes….
