Alerta de ransomware en Adaptavist Group: investigan acceso con credenciales robadas y surge ola de emails impostores

La Alerta ransomware en Adaptavist Group por credenciales robadas pone el foco en un patrón cada vez más común en incidentes corporativos: intrusiones mediante cuentas válidas, investigación forense en curso y una segunda ola de riesgo por suplantación. La consultora británica de software empresarial ha confirmado que investiga un “IT security incident” detectado a finales de marzo, después de que un atacante utilizara credenciales comprometidas para iniciar sesión y acceder sin autorización a parte de sus sistemas.

Adaptavist Group opera en el ecosistema Atlassian, con herramientas y servicios alrededor de plataformas como Jira y Confluence. En una comunicación a clientes, su CEO, Simon Haighton-Williams, afirmó que la compañía ha contratado especialistas externos y mantiene una investigación forense para determinar qué sistemas fueron accedidos y si hubo acceso o exfiltración de información.

Alerta ransomware en Adaptavist Group por credenciales robadas: qué reconoce la empresa

Según la posición oficial de la compañía, los sistemas comprometidos contendrían “typical business data”, incluyendo datos de contacto, contratos y acuerdos de confidencialidad (NDAs) asociados a trabajos con clientes. La empresa recalca que los datos de contactos de clientes se limitarían a información habitual de tarjeta de visita (nombre, email corporativo, cargo, teléfono y organización).

En este punto, Adaptavist Group sostiene que no hay evidencia de que datos personales adicionales de clientes o partners hayan sido accedidos, exfiltrados o comprometidos, y también niega indicios de acceso a sistemas de clientes, a datos procesados en su nombre o a sus entornos de producción.

Un grupo de ransomware asegura un “mega-haul” y “compromise” total

En paralelo, un grupo de ransomware que se identifica como “The Gentlemen” se atribuyó el ataque en su sitio de filtraciones en la dark web, asegurando una supuesta “complete infrastructure compromise” y un conjunto amplio de datos robados. Entre las afirmaciones observadas en esa publicación se incluyen presuntos registros de clientes a gran escala, código fuente de productos (mencionan ScriptRunner), documentos internos, credenciales y sistemas de producción, además de referencias a entornos externos de clientes.

Estas declaraciones no están verificadas por la víctima y, como es habitual en extorsión por ransomware, pueden estar infladas para aumentar la presión negociadora. Sobre el grupo, analistas de seguridad lo describen como un actor relativamente nuevo que emplea un flujo operativo estándar: acceso con credenciales válidas, movimiento lateral discreto, robo de datos y extorsión posterior. Fuente de referencia: Trend Micro.

El riesgo añadido: suplantación y phishing a clientes

Más allá del posible impacto directo del incidente, la compañía advirtió de un segundo vector de daño: un tercero desconocido estaría enviando “misleading correspondence” haciéndose pasar por Adaptavist Group en relación con el caso. En términos de ciberseguridad, esto suele traducirse en campañas de phishing o Business Email Compromise (BEC) aprovechando la atención mediática y la urgencia percibida.

La Alerta ransomware en Adaptavist Group por credenciales robadas llega en un contexto de ataques donde el uso de accesos legítimos reduce la fricción inicial (y puede dificultar la detección temprana), mientras la extorsión se amplifica con desinformación y suplantación a terceros. Comunicación oficial citada por la empresa: carta a clientes de Adaptavist Group.

Qué queda por confirmar

• El alcance técnico exacto del acceso no autorizado (sistemas concretos afectados) y si existió exfiltración confirmada.
• La veracidad de las afirmaciones del grupo sobre código fuente, credenciales y sistemas de producción.
• El alcance de la campaña de suplantación (emails impostores) y si está conectada operativamente al mismo actor.

Mientras avanza la investigación, el caso refuerza la relevancia de la Alerta ransomware en Adaptavist Group por credenciales robadas para el sector: incluso sin cifrado visible o caída de servicios, el riesgo puede desplazarse a robo de información, presión extorsiva y ataques de ingeniería social contra clientes y partners.