Colt Technology Services ha reconocido que datos sensibles de algunos clientes podrían haber sido comprometidos tras un reciente ciberataque. Esta declaración representa un giro respecto a su comunicado inicial, en el que aseguraban que el incidente afectaba únicamente a un sistema interno aislado de la infraestructura de sus clientes.

Respuesta inicial y servicios interrumpidos

El pasado 14 de agosto, la empresa de telecomunicaciones con sede en Reino Unido informó que había desconectado algunos de sus sistemas para contener un “incidente cibernético” que afectaba únicamente a un entorno interno y no vinculado directamente con los sistemas de sus clientes.

Sin embargo, como consecuencia de esta medida preventiva, se vieron interrumpidos varios de sus servicios de soporte, incluyendo servicios de hosting, portabilidad, la plataforma Colt Online y las API de voz.

Archivos robados publicados en la dark web

En una actualización emitida el 21 de agosto, Colt confirmó que el grupo responsable del ataque logró acceder a determinados archivos que podrían contener información relacionada con clientes, y que los títulos de esos documentos ya han sido publicados en la dark web.

“Nuestra prioridad inmediata es determinar con exactitud la naturaleza de esos archivos y el tipo de información que contienen”, señaló la compañía.

En un movimiento poco común, Colt ha ofrecido a sus clientes la posibilidad de solicitar, a través de un centro de atención telefónica dedicado, la lista de nombres de archivo que fueron expuestos en la dark web.

A la fecha del comunicado, los servicios que fueron dados de baja seguían sin estar disponibles. “Aún es pronto para dar un cronograma exacto, pero estaremos proporcionando actualizaciones de forma regular”, indicó la empresa.

Warlock planea subastar los datos robados

El grupo de cibercriminales conocido como Warlock se ha atribuido el ataque. A diferencia del enfoque habitual de muchas bandas de ransomware —que publican datos de forma parcial para presionar a las víctimas, en una táctica conocida como “doble extorsión”—, Warlock ha optado por subastar la información robada en una venta privada que concluirá el 27 de agosto.

Recientemente, este mismo grupo también afirmó ser responsable de otro ataque dirigido contra Orange Belgium.

Expertos independientes como Kevin Beaumont y especialistas de Trend Micro han advertido que Warlock ha explotado de forma reiterada la cadena de vulnerabilidades de Microsoft SharePoint, conocida como ToolShell, para comprometer organizaciones a nivel global.

Conclusión

Este incidente pone de manifiesto la evolución de las tácticas empleadas por los grupos de amenazas y refuerza la necesidad de contar con estrategias de ciberseguridad proactivas, especialmente en torno a vulnerabilidades ampliamente explotadas.

Fuente: https://www.infosecurity-magazine.com/news/colt-customer-data-likely-stolen