El grupo de ransomware Rhysida ha publicado casi dos terabytes de datos internos robados de Gemini Group, un fabricante con sede en Michigan que suministra herramientas y materiales a las principales empresas automotrices. La filtración sigue a una fecha límite de rescate que expiró a fines de octubre y expone registros confidenciales pertenecientes tanto a empleados como a clientes.
Rhysida incluyó a Gemini Group en su sitio de filtraciones y publicó aproximadamente 1,9 terabytes de datos que contienen más de 1,7 millones de archivos. Según los informes, el material robado incluye registros de nómina, documentos de seguros, bases de datos de clientes, comunicaciones internas e informes de producción. Los investigadores de seguridad confirmaron que el conjunto de datos contiene detalles financieros, información personal de los empleados y documentos de la empresa que podrían revelar operaciones internas y estructuras de precios.
Gemini Group opera 18 instalaciones en los Estados Unidos y México y emplea a varios miles de trabajadores. La compañía confirmó que experimentó un incidente de ciberseguridad, pero no ha proporcionado detalles sobre cómo los atacantes obtuvieron acceso, si se implementó ransomware o si se pagó alguna demanda de rescate. La firma dijo que está trabajando con expertos en ciberseguridad y fuerzas del orden para determinar el alcance de la violación.
La filtración de datos, publicada el 31 de octubre, plantea importantes preocupaciones comerciales y de privacidad. Los archivos que circulan en línea parecen contener nombres de empleados, cargos, fechas de contratación, fechas de nacimiento, direcciones, números de Seguro Social, información salarial y detalles del seguro médico. Algunos documentos también hacen referencia a órdenes de compra y comunicaciones con proveedores que podrían exponer estrategias y relaciones comerciales.
Los analistas de ciberseguridad dicen que la exposición de datos personales y corporativos tan detallados podría tener consecuencias a largo plazo. Los identificadores personales, como los números de Seguro Social, no se pueden cambiar fácilmente, lo que crea un riesgo continuo de robo de identidad y fraude financiero. Al mismo tiempo, la publicación de datos comerciales podría permitir a los competidores estudiar la dinámica de la cadena de suministro o los precios, lo que podría dañar las relaciones comerciales de Gemini Group.
Rhysida apunta a las cadenas de suministro industriales
Rhysida, una operación de ransomware observada por primera vez en 2023, se ha relacionado con numerosos ataques a instituciones de fabricación, atención médica y educación. El grupo generalmente obtiene acceso a través de credenciales comprometidas o sistemas de acceso remoto vulnerables antes de robar datos y amenazar con la divulgación pública. Los expertos creen que Rhysida se enfoca en organizaciones con operaciones críticas, donde el tiempo de inactividad podría presionar a las víctimas para que paguen rescates.
En este caso, los atacantes parecen haber priorizado el robo de datos sobre la interrupción del sistema. La filtración de grandes volúmenes de documentación sugiere un proceso de exfiltración organizado diseñado para infligir daños financieros y de reputación. El anuncio del grupo describió a Gemini Group como parte de una campaña dirigida a lo que llamó “operadores industriales estratégicos”, una afirmación que se alinea con incidentes recientes que involucran a otros fabricantes norteamericanos.
Los analistas de seguridad señalan que las redes de suministro industrial y de fabricación se han convertido en objetivos clave debido a sus sistemas interconectados y su dependencia de proveedores externos. Una violación en un proveedor puede exponer información confidencial en varias empresas, amplificando la escala de cada ataque. En sectores como la producción automotriz, donde la coordinación de la cadena de suministro digital es esencial, los riesgos se extienden más allá de una sola empresa.
La violación de Gemini Group ilustra cómo los atacantes ven cada vez más a los proveedores como puertas de entrada a redes más grandes. Los proveedores industriales a menudo almacenan documentación del cliente, planos de diseño y datos operativos que son valiosos tanto para los actores de amenazas criminales como para los alineados con el estado. Los expertos advierten que estas redes deben tratarse como infraestructura crítica que requiere los mismos estándares de ciberseguridad que los principales fabricantes.
La compañía no ha comentado públicamente sobre la autenticidad de los archivos filtrados, pero los foros de ciberseguridad que revisaron las muestras informan que los datos parecen legítimos. Gemini Group continúa trabajando con investigadores externos, mientras que se aconseja a los empleados afectados que monitoreen las cuentas financieras y de crédito y estén atentos a los intentos de phishing que utilizan información robada.
El incidente destaca la creciente superposición entre las violaciones de datos y las campañas de ransomware en los sectores industriales. Incluso cuando los sistemas permanecen operativos, el robo de información confidencial puede ser lo suficientemente dañino como para interrumpir la continuidad del negocio. Para empresas como Gemini Group, el desafío ahora radica en asegurar las operaciones digitales en una amplia red de proveedores y al mismo tiempo asegurar a los socios que se puede restaurar la integridad de los datos.