Black Cat Ransomware Gang reclama 80 GB de datos de Reddit robados

En febrero, Reddit, la plataforma de agregación de noticias sociales, experimentó una brecha de seguridad en la que personas no autorizadas obtuvieron acceso a documentos internos, código y ciertos sistemas comerciales.

La empresa reveló que fue víctima de un ataque sofisticado y dirigido el 5 de febrero de 2023. El ataque tomó la forma de una campaña de phishing altamente dirigida a los empleados de Reddit. Es importante tener en cuenta que las contraseñas y las cuentas de los usuarios no se vieron comprometidas en este incidente.

Los mensajes de spear-phishing emplearon la táctica de redirigir a los usuarios a un sitio web que imitaba la puerta de entrada a la intranet de la empresa. La página de destino de este sitio web engañoso fue diseñada para engañar a las víctimas para que proporcionen sus credenciales de inicio de sesión y tokens de autenticación de segundo factor.

Según un aviso publicado por la empresa, la campaña de phishing se descubrió a fines del 5 de febrero de 2023 (PST). Los atacantes utilizaron indicaciones que parecían plausibles para dirigir a los empleados al sitio web clonado de la puerta de enlace de intranet de Reddit, con el objetivo de robar su información de inicio de sesión y tokens de segundo factor.

Una vez que los atacantes obtuvieron las credenciales de un solo empleado, pudieron obtener acceso a ciertos documentos internos, códigos, paneles internos y sistemas comerciales. Es importante señalar que los sistemas de producción primarios de la empresa no se vieron comprometidos.

El aviso establece además que la exposición se limitó a cierta información de contacto de empleados y contactos actuales y anteriores de la empresa, así como a información limitada del anunciante. La investigación inicial realizada por los equipos de seguridad, ingeniería y ciencia de datos de Reddit no encontró evidencia que sugiera que se haya accedido, publicado o distribuido en línea ningún dato no público.

Al descubrir el incidente, el empleado afectado autoinformó el intento de phishing, lo que llevó a una investigación interna para evaluar el alcance de la infracción. El equipo de seguridad de Reddit respondió rápidamente al incidente bloqueando el acceso de los intrusos.

Posteriormente, la pandilla de ransomware BlackCat/ALPHV se atribuyó la responsabilidad del ciberataque en Reddit en febrero. El grupo alega haber robado 80 GB de datos (comprimidos) de la plataforma. Intentaron ponerse en contacto con Reddit dos veces, el 13 de abril y el 16 de junio, pero no tuvieron éxito.

Black Cat publica reclamos de 80 GB robados de Reddit

El grupo de ransomware publicó un mensaje en su sitio de fuga de datos Tor, afirmando que irrumpieron en Reddit el 5 de febrero de 2023 y adquirieron 80 gigabytes de datos. Mencionaron enviar un correo electrónico a Reddit dos veces, pero no intentaron determinar la naturaleza exacta de los datos robados. Además, el grupo criticó a Steve Huffman, director ejecutivo de Reddit, por sus acciones y se refirió a instancias anteriores que involucraron a líderes empresariales durante eventos públicos de la empresa. Expresaron su confianza en que Reddit no pagaría ningún rescate por los datos robados y parecían ansiosos por que el público tuviera acceso a las estadísticas y la información confidencial que habían obtenido.

El grupo BlackCat/ALPHV exige 4,5 millones de dólares para eliminar los datos robados. Esta organización ciberdelincuente ha estado activa desde noviembre de 2021 y se ha dirigido a varias víctimas, incluidas SOLAR INDUSTRIES INDIA (un fabricante de explosivos industriales), NJVC (un contratista de defensa de EE. UU.), Creos Luxembourg SA (una empresa de gasoductos), Moncler (un gigante de la moda) , Swissport, NCR y Western Digital.

Las demandas de rescate de este grupo han variado, desde decenas de miles de dólares hasta decenas de millones de dólares, dependiendo de la víctima.