NCR fue víctima del grupo de ransomware BlackCat / ALPHV, el ataque causó una interrupción en la plataforma Aloha PoS de la compañía.
NCR Corporation, anteriormente conocida como National Cash Register, es una empresa estadounidense de software, consultoría y tecnología que ofrece varios servicios profesionales y productos electrónicos. Fabrica quioscos de autoservicio, terminales de punto de venta, cajeros automáticos, sistemas de procesamiento de cheques y escáneres de códigos de barras.
NCR está sufriendo una interrupción en su plataforma de punto de venta Aloha, desde el miércoles después de que fue golpeada por un ataque de ransomware realizado por el grupo de ransomware BlackCat / ALPHV.
NCR Aloha POS, es un software integral de punto de venta y gestión de restaurantes, la compañía afirma que es utilizado por más cajeros y servidores que cualquier otro POS en la industria.
La compañía ha comenzado a notificar a sus clientes, confirmando el ataque de ransomware:
“Como cliente valioso de NCR Corporation, estamos llegando con información adicional sobre una sola interrupción del centro de datos que está afectando a un número limitado de aplicaciones auxiliares de Aloha para un subconjunto de nuestros clientes de hospitalidad. El 13 de abril, confirmamos que la interrupción fue el resultado de un incidente de ransomware”, se lee en el aviso enviado por la compañía a los clientes por correo electrónico.
NCR notificó a la policía y contrató a expertos en ciberseguridad de terceros para investigar el incidente y determinar el alcance del ataque.
La compañía señaló que los restaurantes afectados aún pueden atender a sus clientes y que el incidente solo afectó una funcionalidad específica.
“Solo se ve afectada la funcionalidad específica. No hay impacto en las aplicaciones de pago o los sistemas locales”, continúa el aviso.
El grupo de ransomware BlackCat / ALPHV inicialmente agregó NCR a la lista de víctimas en su sitio de fuga de datos Tor, debajo del Tweet del investigador de ciberseguridad Dominic Alivieri. El experto también publicó un mensaje de chat relacionado con la negociación entre NCR y la pandilla de ransomware.
La banda de ransomware afirma haber robado credenciales pertenecientes a los clientes de NCR y amenaza con usarlas y filtrarlas si no se paga el rescate.
En el momento de escribir este artículo, el grupo ha eliminado el nombre de NCR de su sitio de filtración, probablemente porque hay una negociación en curso.
La banda de ransomware lackCat/ALPHV ha estado activa desde noviembre de 2021, la lista de sus víctimas es larga e incluye al fabricante de explosivos industriales SOLAR INDUSTRIES INDIA, el contratista de defensa estadounidense NJVC, el gasoducto Creos Luxembourg S.A., el gigante de la moda Moncler y el Swissport.
Las demandas de rescate del grupo van desde unas pocas decenas de miles de dólares hasta decenas de millones de dólares.
Recientemente se observó que una filial del grupo de ransomware ALPHV / BlackCat, rastreada como UNC4466, explotaba tres vulnerabilidades en la solución Veritas Backup para obtener acceso inicial a la red de destino.
A diferencia de otros afiliados de ALPHV, UNC4466, no depende de credenciales robadas para el acceso inicial a los entornos de las víctimas.
