Johnson Controls International ha confirmado que un ataque de ransomware en septiembre de 2023 costó a la empresa 27 millones de dólares y provocó una violación de datos después de que los hackers robaran datos corporativos.
Johnson Controls es un conglomerado multinacional que desarrolla y fabrica sistemas de control industrial, equipos de seguridad, aires acondicionados y equipos de seguridad contra incendios.
Como informó primero CiberNovedades, Johnson Controls fue víctima de un ataque de ransomware en septiembre, después de que las oficinas asiáticas de la compañía fueran atacadas y los hackers se extendieran por su red. El ataque obligó a la empresa a cerrar gran parte de su infraestructura informática, afectando a los sistemas de cara al cliente.
La banda de ransomware Dark Angels está detrás del ataque y afirma haber robado más de 27 TB de datos confidenciales de Johnson Controls. Los autores de la amenaza exigieron entonces un rescate de 51 millones de dólares para eliminar los datos y proporcionar un descifrador de archivos.
Dark Angels es una banda de ransomware lanzada en mayo de 2022 que utiliza cifradores basados en el código fuente filtrado de las ya desaparecidas operaciones Babuk y Ragnar Locker.
La empresa reconoció una interrupción del servicio y atribuyó la causa a un «incidente de ciberseguridad», pero no dio detalles sobre el tipo de ataque o si causó una violación de datos.
En un informe trimestral presentado ayer ante la Comisión del Mercado de Valores (SEC), Johnson Controls confirmó que el ciberataque que sufrió el 23 de septiembre de 2023 fue en realidad un ataque de ransomware que provocó el robo de datos.
«El incidente de ciberseguridad consistió en el acceso no autorizado, la exfiltración de datos y el despliegue de ransomware por parte de un tercero en una parte de la infraestructura informática interna de la empresa», confirmó Johnson Controls.
La empresa también afirma que los gastos asociados a la respuesta y corrección del ciberataque ascienden a 27.000.000 de dólares.
«El impacto en los ingresos netos para los tres meses finalizados el 31 de diciembre de 2023 de los ingresos perdidos y diferidos, netos de los ingresos diferidos a finales del año fiscal 2023 y reconocidos en el primer trimestre del año fiscal 2024, y los gastos durante el trimestre fue de aproximadamente 27 millones de dólares», se lee en la presentación ante la SEC.
«Estos impactos son principalmente atribuibles a los gastos asociados con la respuesta al incidente y la remediación, y son netos de recuperaciones de seguros».
Johnson Controls espera que estos costes aumenten en los próximos meses a medida que la compañía continúe determinando qué datos fueron robados y trabajando con expertos externos en ciberseguridad y remediación.
Basándose en la información disponible hasta la fecha, Johnson Controls confía en que la actividad no autorizada ha sido totalmente contenida y que sus productos y servicios digitales, incluyendo OpenBlue y Metasys, están todos disponibles.