Ataque de ransomware afecta a una división de AkzoNobel en EE. UU.

El CTI de ICS Labs identificó que una división estadounidense de AkzoNobel, una multinacional holandesa del sector de pinturas y recubrimientos, fue objeto de un ataque de ransomware que resultó en el robo de aproximadamente 170 GB de datos corporativos, según información divulgada públicamente por investigadores de seguridad.

El ataque fue reivindicado por el grupo de ransomware Anubis Ransomware Group, que afirmó haber obtenido cerca de 170.000 archivos que contenían información corporativa sensible. La filtración fue inicialmente divulgada por el especialista en ciberseguridad Erik Westhovens.

Los datos fueron publicados en el sitio de filtraciones del grupo, una práctica común en operaciones de extorsión, donde los criminales amenazan con divulgar información si no se realiza el pago.

Datos potencialmente comprometidos

Según el grupo criminal, los archivos robados incluyen:

• Copias de pasaportes de empleados

• Acuerdos de confidencialidad con clientes y proveedores

• Documentos legales corporativos

• Informes financieros internos

• Resúmenes y datos administrativos

Posicionamiento de la empresa

Un portavoz de AkzoNobel afirmó al portal BleepingComputer que el incidente fue identificado y contenido, destacando que el impacto se limitó a un único sitio de la organización y que la empresa está notificando a las partes afectadas. Además, señaló que las autoridades competentes están siendo involucradas en la investigación. Hasta el momento, la empresa no ha confirmado públicamente la extensión total de la filtración alegada por el grupo.

Sobre el grupo Anubis

El grupo de ransomware Anubis está activo desde diciembre de 2024 y opera bajo el modelo de Ransomware‑as‑a‑Service (RaaS).

Entre las características de su operación se incluyen:

• Programa de afiliados para socios criminales

• Venta de acceso inicial (Initial Access Brokers)

• Uso de doble extorsión mediante la publicación de datos robados

• Ataques dirigidos a grandes organizaciones

• Modo “wipe” opcional, que permite a los actores maliciosos borrar los archivos de las víctimas si el rescate no es pagado

Recomendaciones para los equipos de seguridad

Este incidente evidencia que las organizaciones deben reforzar sus medidas de defensa contra el ransomware, ante el aumento de ataques llevados a cabo por grupos como Anubis. Los equipos de defensa deben realizar auditorías frecuentes de cuentas privilegiadas y accesos remotos. Además, las empresas deben adoptar segmentación de red, autenticación multifactor y monitoreo continuo para identificar actividades sospechosas.

Asimismo, se vuelve cada vez más relevante mantener copias de seguridad offline, regulares y probadas, con el fin de garantizar la recuperación de datos y sistemas sin depender del pago de rescates. Finalmente, invertir en capacitación de concienciación en seguridad para los empleados reduce la probabilidad y el impacto de incidentes similares al que afectó a AkzoNobel.

Últimas actualizaciones

• 13 de junio de 2025: Trend Micro publica un artículo sobre el ransomware Anubis.

• 3 de marzo de 2026: BleepingComputer publica sobre el caso AkzoNobel, confirmando el ataque.

• 7 de marzo de 2026: CISO Advisor comenta el incidente y los datos filtrados en su blog.