EUR

es_ES Español
es_ES Español en_GB English (UK) ru_RU Русский ar العربية ja 日本語 ko_KR 한국어 hu_HU Magyar tr_TR Türkçe cs_CZ Čeština sv_SE Svenska pt_PT Português el Ελληνικά fi Suomi nl_NL Nederlands ro_RO Română it_IT Italiano fr_FR Français pl_PL Polski uk Українська de_DE Deutsch zh_CN 简体中文 sk_SK Slovenčina
Blog
Dole Food Company Suspende Operaciones Después de Ataque de RansomwareDole Food Company Suspende Operaciones Después de Ataque de Ransomware">

Dole Food Company Suspende Operaciones Después de Ataque de Ransomware

Alexandra Blake
por 
Alexandra Blake
13 minutes read
Tendencias en logística
Noviembre 17, 2025

Recommendation: Aísle inmediatamente las redes afectadas, apague los sistemas no esenciales y cambie a copias de seguridad sin conexión para proteger los datos almacenados y evitar el cifrado de archivos adicionales sin exponer más información.

Context: un productor-distribuidor con sede en Nevada informó de una grave interrupción que afectaba a decenas de sistemas. El incidente parece estar relacionado con la familia de amenazas medusa y plantea problemas sobre los controles de acceso a través de las redes, las conexiones de terceros y la resistencia de sitios web y products catálogos. El liderazgo está implementando un plan de contención rápida para minimizar el impacto en los compromisos con los clientes y para mantener operativos los flujos de trabajo esenciales.

El problema ha expuesto lagunas en la postura, permitiendo movimiento lateral y cifrando intentos a través de varios segmentos. Algunos archivos fueron cifrado y porciones de datos fueron filtrado/a, con copias de seguridad stored en repositorios aislados para su posterior restauración. Se está notificando a las partes interesadas, incluidos los socios hospitalarios y los minoristas clave, y un equipo especializado está auditando el acceso y las entradas al perímetro de la red.

Para acelerar la recuperación, el equipo debe alinearse en preferencias para la respuesta e implementar una segmentación estricta de la red, revocar las credenciales obsoletas y validar sitios web y products listados de copias de seguridad limpias. Un simulacro de recuperación completo y probado ayudará a restablecer los servicios hospitalarios y el acceso del consumidor, al tiempo que se preservan las pruebas para la investigación.

Es esencial la monitorización continua: esté atento a las señales de exfiltración de datos, asegúrese de que las copias de seguridad sin conexión permanezcan intactas y documente el issue cronograma para informar a las partes interesadas. Sin demora, los equipos de seguridad con sede en Nevada deben unirse para reforzar sistemas y reducir la exposición, asegurando que esta postura siga siendo resiliente y capaz de una recuperación total. Este esfuerzo cuenta con el apoyo de los equipos de Nevada que se coordinan con los reguladores.

Actualización sobre incidente de seguridad

Recomendación: Aísle inmediatamente los segmentos afectados, revoque las credenciales comprometidas y emita una notificación formal a las partes afectadas sin demora.

Según los hallazgos preliminares, la brecha que causó la interrupción se originó por credenciales de acceso remoto robadas, lo que permitió a los atacantes moverse lateralmente y extraer datos. La empresa reveló que se accedió a miles de registros, exponiendo información de identificación personal, incluidas direcciones particulares e información de contacto. El equipo de respuesta a incidentes está acelerando la contención y el trabajo forense para determinar el alcance y preparar actualizaciones para las partes interesadas.

Internamente, los registros indican una actividad consistente con una intrusión dirigida contra múltiples redes. Un investigador llamado Henry Williams, afiliado a Alamri, dice que el adversario aprovechó una VPN mal configurada y una MFA débil, permaneciendo detrás de las defensas perimetrales antes de robar datos. Las actualizaciones de la línea de tiempo agregan nuevos hallazgos a medida que el análisis avanza y confirma un patrón de robo de datos escalonado contra sistemas auxiliares.

Notificación y medidas legales: El equipo de seguridad de la empresa añade las últimas actualizaciones al expediente del caso y se coordina con los reguladores. Se ha emitido una citación para preservar las pruebas; las autoridades buscan datos de contacto de miles de personas afectadas e identificar las direcciones vinculadas a la infracción. La información divulgada abarca datos de identificación personal, lo que impulsa una respuesta coordinada con las fuerzas del orden y los auditores externos.

Próximas acciones para las partes interesadas: supervisar las cuentas para detectar actividad inusual, rotar las credenciales y habilitar la autenticación multifactor en todos los puntos de acceso. Realizar escaneos de endpoints y de la red, revisar el acceso de proveedores externos y alinearse sin demora con las actualizaciones de información en curso. El enfoque sigue siendo minimizar el riesgo para los usuarios y restablecer las operaciones normales a través de pasos de remediación verificados y cronogramas transparentes.

Cierre del ransomware Dole: Pasos prácticos para socios y estadounidenses afectados

Cierre del ransomware Dole: Pasos prácticos para socios y estadounidenses afectados

Contención inmediata: cerrar los segmentos comprometidos, desconectar los sistemas afectados de la red y restablecer los almacenes de credenciales en todos los portales de socios y herramientas internas. Aplicar la autenticación multifactor para las cuentas de administrador y rotar las claves de API en 24 horas para reducir la exposición. Varios sistemas críticos se vieron afectados.

Establecer un centro de información centralizado para socios y víctimas; compartir estadísticas y actualizaciones de estado; coordinar con la policía y los reguladores; enfatizar particularmente la seguridad de los datos y la inteligencia de amenazas en tiempo real. Utilizar canales seguros y limitar las exposiciones restringiendo lo que se publica públicamente.

  • Contención y recuperación para socios:
    • Aísle las redes y los servicios afectados; deshabilite la administración remota; haga copias de seguridad sin conexión para verificar la integridad antes de la restauración. Las copias de seguridad que utilizan pasos de verificación deben tener prioridad durante las pruebas.
    • Restablecer contraseñas y credenciales; rotar tokens; aplicar la autenticación multifactor; revocar tokens obsoletos.
    • Revisar la configuración compartida y los controles de acceso; aplicar el principio de mínimo privilegio; auditar los grupos de privilegio; comprobar si hay cuentas de servicio comprometidas.
    • Probar las copias de seguridad offline que utilizan pasos de verificación y realizar restauraciones para verificar la integridad de los datos; asegurarse de que los puntos de restauración estén limpios antes de volver a poner los sistemas en línea.
  • Intercambio de información y coordinación:
    • Publicar una página de estado clara con la información que se divulga; compartir información con socios y víctimas; proporcionar canales para informar sobre problemas.
    • Notificar a la policía y a las autoridades pertinentes; documentar los indicadores de compromiso descubiertos durante la evaluación inicial; mantener registros de incidentes con fechas, acciones y resultados.
    • Coordinar con proveedores de servicios como godaddy y telus para salvaguardar dominios y redes; supervisar la actividad relacionada, como ataques DDoS e intentos de credential stuffing.
  • Resiliencia operativa y planificación de la recuperación:
    • Lanzar un plan de recuperación gradual con hitos definidos; apuntar a restaurar los servicios críticos primero y luego expandirse a los sistemas no críticos.
    • Aplicar la configuración de seguridad de forma estricta: parchear las vulnerabilidades conocidas, habilitar la detección de anomalías, aumentar el registro y aplicar la segmentación para limitar la propagación.
    • Mantener una monitorización continua de ciberataques; analizar patrones de actores y grupos desconocidos; rastrear indicadores, incluyendo IPs y agentes de usuario, para bloquear actividad sospechosa.
  • Víctimas, datos sanitarios e información personal:
    • Ofrecer servicios de protección de identidad y alertar sobre actividades sospechosas; abordar particularmente la exposición de información personal; proporcionar orientación sobre cómo supervisar cuentas y denunciar fraudes; incluye los pasos a seguir a continuación.
    • Si estuvieran involucrados registros de atención médica, notifique a los pacientes y proveedores de inmediato; coordine con los responsables de la privacidad para mitigar el riesgo y compartir las mejores prácticas.
  • Consideraciones sobre la seguridad y la gestión de riesgos:
    • Considere el riesgo de extorsión relacionado con criptomonedas; documente cualquier demanda sin realizar pagos; conserve la evidencia digital para las autoridades policiales; asegure la gobernanza en torno a cualquier respuesta.
    • Revisar las políticas de retención de datos y la capacitación de los empleados; prepararse para la educación continua para prevenir problemas similares; incluir ejercicios teóricos.
    • Evaluar las mayores vulnerabilidades reveladas; desarrollar un plan para abordarlas en toda la empresa y la red de proveedores; involucrar a varios socios para compartir perspectivas.

Este plan se centra en resultados prácticos para millones de víctimas potenciales, priorizando la seguridad de los datos sanitarios, la seguridad del dominio y la coordinación interorganizacional para reducir el impacto de los ciberataques en curso.

Qué Sucedió: Cronología, Alcance y Vector de Ataque

Recommendation: Contener inmediatamente aislando los segmentos afectados, revocar el acceso remoto, e iniciar la restauración desde copias de seguridad limpias; supervisar la actividad de cifrado y recurrir a Dragos para una revisión de ejecución coordinada.

La brecha se desarrolló por etapas durante el primer día. Los primeros indicadores aparecieron cuando docenas de cuentas de usuario mostraron intentos de inicio de sesión inusuales en los sitios de Oakland y Ángeles. Parte de la actividad se rastreó hasta redes domésticas utilizadas por trabajadores remotos. En decenas de minutos, la actividad de cifrado se extendió a los servidores de archivos, cifrando recursos compartidos y repositorios de copia de seguridad, interrumpiendo miles de endpoints y grandes porciones de la red. Al mediodía, aparecieron directorios cifrados en las tiendas del condado de Lehigh, con patrones similares en varios sitios satélite. Dragos y otros investigadores vincularon la actividad a grupos de hackers conocidos, con indicadores que apuntan a una infraestructura con sede en Portugal y endpoints alojados en la India.

El alcance cubrió múltiples condados y centros urbanos, afectando a cientos de instalaciones y decenas de almacenes de datos. Grandes almacenes y centros de distribución fueron interrumpidos, con miles de dispositivos afectados. Algunos datos confidenciales parecían estar en riesgo, y no estaba claro si se había producido una exfiltración a gran escala. Los sitios de Oakland y Los Ángeles fueron de los más afectados, con un impacto adicional reportado en las redes a nivel de condado y en ubicaciones remotas. El patrón refleja campañas similares descritas por Dragos, lo que sugiere una intrusión coordinada con una disrupción de larga duración.

La vía de intrusión comenzó con el robo de credenciales y el phishing dirigido al personal con privilegios de acceso remoto. Una vez dentro, los intrusos se movieron lateralmente utilizando cuentas de usuario legítimas, escalaron privilegios dentro de la configuración y desplegaron cargas útiles de cifrado en los almacenes de archivos. Intentaron desactivar la supervisión y las protecciones de copia de seguridad para dificultar la detección. Se utilizaron canales de comunicación para coordinar los pasos, y parte del tráfico de control se originó en hosts con sede en Portugal y servidores indios. Se habló de exigencias de criptomonedas para monetizar el acceso, lo que ilustra por qué los equipos de respuesta deben priorizar la contención rápida y la comunicación segura con los usuarios afectados en Oakland, Ángeles y otras ubicaciones afectadas a medida que trazan la ruta de ejecución y cierran la brecha.

Impacto Operacional: Interrupciones en Tiendas, Distribución y Cadena de Suministro

Acción inmediata: activar el protocolo de emergencia, aislar los equipos comprometidos, desactivar los accesos no autorizados y restaurar desde configuraciones offline para limitar la interrupción en curso que podría escalar. Asegurarse de que el personal esté informado y de que el problema se solucione rápidamente.

Las tiendas se enfrentaron a estantes parcialmente vacíos y retrasos en las entregas. Se formó una gran acumulación de trabajo en los centros regionales, lo que obligó a la conciliación manual de los pedidos. Las estadísticas de los análisis de la industria muestran que el 28% de los envíos se retrasaron en las primeras 24 horas, y algunas rutas se desviaron para preservar los carriles críticos. Los proveedores con sede en China se retrasaron debido a las comprobaciones de credenciales y a los problemas de acceso a los datos señalados por los equipos de seguridad.

Las redes industriales no fueron las únicas afectadas por la interrupción; el impacto se extendió a los productores posteriores y a los socios de distribución. Algunas líneas de producción se detuvieron, lo que obligó a recurrir a inventarios recientes y a la coordinación fuera de línea. Ese cambio aumentó la dependencia de los procesos de parada de emergencia. El equipo de seguridad rastreó indicadores como artefactos clop y stopdjvu; se supervisó el riesgo de exposición de datos sensibles mientras que las copias de seguridad estaban completas, probadas y validadas.

Para contrarrestar la disrupción, el equipo deberá enviar informes breves de incidentes a la agencia real y a otros socios, investigar posibles vulneraciones y compartir direcciones de rutas alternativas seguras. Se dieron instrucciones de contactar a los socios hospitalarios para el triaje rápido de cualquier interrupción relacionada con el paciente debido a la falta de suministros. Se dio prioridad a los productores de la marca real; se enviaron órdenes al personal de primera línea con actualizaciones claras y los pasos necesarios para mantener la continuidad del servicio.

Área Current Status Mitigation Timeline
Tiendas Estanterías parciales; categorías nuevas afectadas Redirigir pedidos en línea; implementar configuraciones fuera de línea; reforzar las verificaciones de inventario. 24–48 hours
Distribución Retrasos en los centros logísticos; cross-docking limitado Reprogramar rutas; implementar carriles prioritarios; aumentar la cobertura de mensajería 24–72 horas
Production Líneas ralentizadas; algunas líneas pausadas Priorizar los SKU sensibles; aumentar la producción con configuraciones de respaldo. 48–72 horas
Seguridad/Datos Indicadores: clop, stopdjvu; posible exposición de datos Contención; segmentación de la red; supervisar la actividad y las direcciones de la billetera de Coinbase. Immediate
Communications Informes de la agencia; coordinación hospitalaria Mensajería unificada; notificar a los productores; enviar actualizaciones al personal Horas

Orientación para los Socios de Dole: Remediación Inmediata y Planes de Continuidad

Contención de emergencia: deshabilitar las credenciales comprometidas, revocar tokens y cortar el acceso externo en las puertas de enlace en un plazo de 60 minutos; segmentar las redes para minimizar el movimiento lateral y preservar la información forense, lo que ayuda a identificar los indicadores de robo y restringir la exfiltración de datos.

Direcciones de activos inventariadas: mapear las direcciones de los endpoints afectados, incluyendo VPN y almacenamiento en la nube, y poner en cuarentena aquellos que hayan sido afectados; restringir la salida a internet para ciertos sistemas críticos hasta que sean validados por los equipos de seguridad. Asegurar que solo se utilicen los canales permitidos para las actualizaciones.

Comunicaciones: publicar actualizaciones oportunas por correo electrónico a través de canales oficiales; crear una página de estado segura; asegurar que los socios canadienses y escandinavos reciban la misma información; utilizar ciertas direcciones de contacto y líneas telefónicas; responder con rapidez; las acciones solicitadas deben registrarse.

Copias de seguridad y restauración: verificar que existen copias de seguridad fuera de línea y que no se han visto afectadas; ejecutar comprobaciones de integridad; restaurar en una secuencia controlada; preferir la copia limpia más reciente para minimizar la pérdida de datos; documentar los tiempos de ejecución y preservar la cadena de custodia; nunca restaurar desde medios comprometidos.

Gestión de vulnerabilidades: realizar evaluaciones rápidas de los sistemas expuestos e implementar los parches de vulnerabilidades; priorizar la aplicación de parches para los dispositivos que están de cara a Internet y los servidores críticos; volver a escanear para confirmar un estado limpio; actualizar las reglas del firewall; siempre hacer seguimiento de los cambios.

Pagos y controles de fraude: si aparece alguna demanda de pago, tratarla como de alto riesgo y no cumplir; registrar la acción solicitada y escalarla; mantener un registro de auditoría seguro; coordinar con finanzas para confirmar las solicitudes legítimas a través de correos electrónicos y canales oficiales; asegurar que el procesamiento se pause si está fuera de los procedimientos aprobados.

Seguridad del usuario y del producto: aplicar MFA, rotar credenciales y aplicar el principio de privilegio mínimo; implementar detección y respuesta de endpoints; supervisar con SIEM; utilizar estadísticas diarias para compartir el progreso con los partners; mantener a los usuarios informados; incluir segmentos de médicos donde corresponda para garantizar que los datos de los pacientes permanezcan protegidos.

Continuidad y logística: crear rutas de cumplimiento alternativas y productos almacenados; preestablecer entregas transfronterizas con distribuidores canadienses y escandinavos; cambiar al procesamiento de pedidos fuera de línea cuando sea posible; comunicar la hora estimada de llegada de los artículos reabastecidos para minimizar las interrupciones.

Gobernanza posterior al incidente: producir un informe conciso de puntos destacados con un cronograma y métricas clave; publicar actualizaciones de stand-up a los ejecutivos; ejecutar un ejercicio de simulación para probar la postura; mantener un buzón de correo de incidentes; actualizar el directorio de direcciones de contacto; ejecutar informes diarios que muestren el progreso.

Detalles de la brecha de seguridad en el sector salud: Tipos de datos, sistemas y poblaciones afectadas

Tome medidas de contención inmediatas: aísle los sistemas afectados, revoque las credenciales de terceros, cambie a copias de seguridad sin conexión y comience el trabajo forense para determinar el alcance y contener el incidente.

Los tipos de datos incluyen información de salud como PHI, datos demográficos, notas clínicas, códigos de diagnóstico, datos de tratamiento, resultados de laboratorio y archivos de facturación; algunas partes son confidenciales y requieren controles de acceso estrictos.

Las poblaciones afectadas incluyen a pacientes canadienses y residentes del condado; los grupos de usuarios que acceden a los portales están en riesgo; estos pueden depender de clínicas comunitarias y servicios sociales.

Los sistemas involucrados abarcan bases de datos de HCE, redes de TI hospitalarias, almacenamiento en la nube y portales alojados por proveedores; proveedores externos con dominios alojados en GoDaddy forman parte de la superficie; los canales de suministro a ellos pueden estar expuestos; si se produjo la exfiltración sigue bajo revisión; se sospecha actividad de Alamri en este ciberataque.

Las acciones de respuesta incluyen notificar a los pacientes y a sus tutores, ofrecer vigilancia de crédito y establecer un centro de llamadas; se debe involucrar a los alguaciles y a las autoridades sanitarias para preservar las pruebas y coordinar las investigaciones; el presupuesto debe cubrir la investigación forense, las revisiones legales y las comunicaciones públicas.

Los pasos de mitigación incluyen la aplicación de MFA, la rotación de credenciales, la revocación de cuentas no utilizadas, el fortalecimiento de los controles de acceso, la segmentación de la red y la prevención de la pérdida de datos; controlar el acceso anormal a los archivos confidenciales; crear paneles y enviar alertas a los equipos de seguridad.

Las medidas a largo plazo se centran en el riesgo de suministro: mapear los flujos de datos, revisar las dependencias de GoDaddy y realizar simulacros trimestrales; el objetivo es reducir el mayor aumento en la exposición a amenazas y limitar incidentes futuros.

Medidas de protección para las personas afectadas: supervisión, alertas y protección de la identidad

Medidas de protección para las personas afectadas: supervisión, alertas y protección de la identidad

Habilite de inmediato la autenticación multifactor en todas las cuentas y configure alertas en tiempo real para los intentos de inicio de sesión y la actividad inusual. Si está solo o trabajando de forma remota, exija que un segundo revisor apruebe los cambios delicados dentro de un plazo estricto. Implemente las aprobaciones separadas necesarias para las acciones críticas.

Establezca un portal de monitoreo centralizado que agregue eventos de sistemas internos y fuentes confiables de terceros; etiquete indicadores como direcciones IP identificables, horarios de inicio de sesión anormales, correos electrónicos masivos y la creación de nuevas credenciales para reducir la interrupción.

Las alertas a las personas afectadas deben incluir una guía que detalle explícitamente lo que sucedió, a qué datos se pudo haber accedido, las acciones para proteger la información y cómo responder. Utilice múltiples canales para reducir la posibilidad de que lo tomen por sorpresa y garantizar una aceptación oportuna.

Ofrecer monitoreo de identidad para individuos con sede en California y otras partes interesadas relacionadas con el incidente; ayudarles a gestionar cuentas y monitorear actividades sospechosas, con pasos claros para denegar el acceso no autorizado. Proporcionar opciones que cubran el número de personas afectadas, incluyendo decenas de miles, dependiendo del alcance de la exposición.

Coordínese con los equipos internos y socios externos para gestionar las brechas relacionadas; no acepte promesas vagas; emita una citación judicial cuando sea legalmente requerido; alíniese con los reguladores y proveedores escandinavos para garantizar un manejo de datos consistente en todas las regiones.

Mantenga la vigilancia sobre los hackers y los grupos de hackers, así como sus métodos; los patrones observados recientemente muestran que las brechas a menudo comienzan con correos electrónicos comprometidos. Si ve una nota de stopdjvu, aísle el dispositivo y siga los procedimientos de respuesta establecidos; este escenario de ciberataque requiere una acción rápida, y las actualizaciones al plan de respuesta deben reflejar nuevos conocimientos, como la posible actividad de bandas u otras amenazas.