Coca-Cola, Stormous y un ataque muy dudoso

Coca-Cola, la chispa de la vida, el refresco que nos une globalmente, el Sancho Panza de ese Don Quijote que son las hamburguesas y que, en comunión con las patatas fritas, conforman la santísima trinidad de la comida rápida, podría haber desarrollado en estos últimos días un nuevo nexo de unión con el resto del mundo o, para ser más exactos, con una parte concreta del mismo. Me refiero, claro está, a esa parte que, en algún momento, ha sido víctima del ransomware.

Hay, no obstante, algunos detalles en esta historia, de este hipotético ataque exitoso a Coca-Cola, que invitan a tomársela con ciertas reservas o, como dicen en el mundo anglosajón, con una pizca de sal… o, en este caso, con todo un puñado. Y es que el mundo del cibercrimen recuerda, en ocasiones, al de no pocos artistas del mundo del rap de la costa oeste, esas que hacen una ostentación de riqueza que, en ocasiones, parece estar muy por encima de la realidad. Un poco al estilo del parchís, por aquello de comerse una y contar veinte. Que no digo que sea el caso, ojo, solo digo que podría serlo.

Pero empecemos por el principio, con una breve introducción a Stormous, un grupo que empieza a hacer ruido a principios de este mismo año, y que se atribuye, entre otros, un ataque a Epic Games que se habría traducido en la fuga de alrededor de 200 gigabytes de activos digitales. Una exfiltración de la que, no obstante, el grupo no habría aportado muestra alguna de los archivos robados, al igual que ocurre con este supuesto ataque a Coca-Cola.

Y es que hablamos de un grupo un tanto peculiar. Tanto que, por ejemplo, somete a la elección de sus seguidores la selección del siguiente objetivo de sus ataques. Por ejemplo, en el caso del supuesto ataque a Coca-Cola, la terna sometida a votación estaba compuesta por la propia Coca-Cola, la juguetera Mattel, el conglomerado empresarial de ciencia y tecnología Danaher, la compañía de tecnología educativa Blackboard y GE Aviation, una subsidiaria de General Electric dedicada a la producción de motores para el sector aeronáutico, en el que cuenta con gran presencia.

En dicha encuesta, como podemos ver en Security Affairs, Coca-Cola fue la elección mayoritaria, con nada menos que un 72% de los votos. Así, una vez emitido el voto popular, se supone que Stormous llevó a cabo el ataque, de manera exitosa, y poco después indicaron que habían logrado exfiltrar nada menos que 161 gigabytes de activos digitales. ¿Y el rescate y/o precio de venta de los activos? Porque, claro, cabe entender que ante una exfiltración así, la exigencia económica debe ser enorme, ¿verdad?

Pues aquí es donde encontramos otro punto que nos hace sospechar mucho de la autenticidad del ataque. Y es que, según indica el propio grupo, el precio de la documentación de Coca-Cola exfiltrada es de 1,6467 bitcoins. Al cambio, a la publicación de esta noticia, 62.413,59 euros. Así que o el valor real de la información exfiltrada es bastante nimio, o en realidad tal exfiltración no se ha producido y nos encontramos frente a un scam. ¿Poco más de un bitcoin y medio por una exfiltración potencialmente tan jugosa? Suena muy, muy raro.

En un análisis de la actividad de Stormous llevado a cabo por SOCRadar a mitades de marzo, podemos ver que la mayoría de los indicadores señalan en la dirección de que los ataques que se atribuye el grupo, o al menos parte de los mismos, no serían reales, y que por lo tanto nos encontraríamos ante un ejercicio de propaganda, un contexto en el que un ataque precisamente a Coca-Cola tendría todo el sentido del mundo.

Y es que desde que se desató el conflicto entre Ucrania y Rusia, y a la sombra de otras organizaciones que se han posicionado del lado de Rusia, Stormous también se ha adherido del lado del Kremlin, apuntando a occidente como su objetivo global. Así, vanagloriarse de un ataque efectivo contra Coca-Cola, probablemente una de las marcas más icónicas de Estados Unidos y de parte de la civilización occidental, sí que parece más un ejercicio de propaganda que una acción real.

Si Stormous es capaz o no de llevar a cabo ataques reales, es algo que no podemos afirmar ni negar de manera tajante, pues no hay pruebas concluyentes en ninguno de ambos casos. Y es cierto que, si buscamos, podemos encontrar compañías que incluso afirman ser capaces de recuperar los activos que se puedan haber visto afectados por su ransomware, pero también sin detalles y más información al respecto, lo que también genera dudas. Tantas, como el supuesto ataque a Coca-Cola.

La entrada Coca-Cola, Stormous y un ataque muy dudoso es original de MuySeguridad. Seguridad informática.