El hielo se resquebraja – El ataque ransomware a Pergamon Status Diş Ticaret AŞ

Fundada en abril de 2001, la empresa turca Pergamon Status Diş Ticaret AŞ cotiza en bolsa desde el 12 de noviembre de 2014, bajo el símbolo PSDTC en Borsa İstanbul. Con sede en İzmir, se dedica al comercio exterior de bienes de consumo duraderos y no duraderos. Aunque cuenta con solo 22 empleados, desempeña un papel estratégico dentro de la red logística y aduanera del país.

Según fuentes financieras de julio de 2025, la capitalización bursátil de la compañía ronda entre 740 y 855 millones de liras turcas (equivalente a unos 15,8–18,2 millones de euros). En los últimos 12 meses reportó 32,58 millones TRY de ingresos (≈ 958.000 €) y un beneficio neto de 36,23 millones TRY (≈ 1,07 millones €). El precio por acción a fecha 18 de julio se sitúa en 106,50 TRY (≈ 3,13 €).

Con más de 130.000 declaraciones aduaneras, 976 clientes activos y 19 proveedores, Pergamon Status es una pieza clave del ecosistema comercial turco. Entre sus socios destacados figuran Keller & Kalmbach GmbH, Würth Industrie Service GmbH & Co KG y Artistic Fabric Mills (Private) Ltd.

En mayo de 2025, aparece un nuevo jugador en escena: el grupo de ransomware Direwolf, especializado en técnicas de doble extorsión. Utilizan algoritmos de cifrado avanzados como ChaCha20 y Curve25519 para bloquear sistemas y robar datos, amenazando con publicarlos en la red Tor si no se paga el rescate.

Entre el 27 de mayo y el 8 de julio de 2025, Direwolf publica los nombres de 21 víctimas. El plazo medio entre la infección y la divulgación de información es de 13,1 días. En el caso de Pergamon Status, se sustraen cerca de 50 GB de datos sensibles: bases de datos Oracle, informes financieros, registros aduaneros, documentos fiscales y auditorías ISO. Una muestra fue publicada el 20 de julio, y la amenaza de filtración total está fijada para el 30 de julio.

El equipo de seguridad de la empresa detectó archivos cifrados el 20 de julio a las 12:55 UTC — demasiado tarde. El asedio ya se había iniciado. Silencioso. Preciso. Letal.

La infiltración silenciosa – Cuando el hielo comenzó a romperse

El 20 de julio de 2025, Direwolf publicó una lista de archivos robados de Pergamon Status en su portal oculto vía Tor — el inicio formal del chantaje. Ese mismo día, a las 12:55 UTC, el equipo de seguridad de la compañía detectó archivos cifrados en sus sistemas internos. El daño ya estaba hecho.

Con base en los métodos y tácticas conocidas de Direwolf, se reconstruyó la siguiente cronología estimada del ataque:

• 15 de julio, 03:20 UTC (estimado): Más de 800 intentos fallidos de acceso por RDP, provenientes de infraestructura bulletproof. Se trató de una primera fase de reconocimiento externo.

• 15–18 de julio (estimado):Escaneo de red, identificando puertos RDP abiertos y comparticiones SMB/CIFS para mapear la infraestructura interna.

• 18 de julio (estimado): Robo de credenciales mediante herramientas como Mimikatz, seguido de escalamiento de privilegios vía Pass-the-Hash.

• 18–20 de julio (estimado):Movimiento lateral dentro de la red, alcanzando sistemas clave como el servidor SAP S/4HANA y la base de datos Oracle.

• 20 de julio (estimado): Exfiltración de aproximadamente 50 GB de información sensible (registros financieros, fiscales, logísticos) vía HTTPS sobre la red Tor.

• 20 de julio, 00:45 UTC (estimado): Activación de algoritmos de cifrado ChaCha20-Poly1305 en servidores críticos.

• 20 de julio, 00:52 UTC (estimado): Se genera el archivo howl.txt en todas las carpetas — la carta de extorsión de Direwolf.

Pergamon Status se percató del ataque cuando ya se había materializado. Los datos estaban cifrados. La amenaza era pública. El reloj para el pago del rescate marcaba 48 horas. El 30 de julio sería el día de la filtración total.

El hielo ya había crujido. Y el invierno digital estaba sobre ellos.

Después del golpe – Ecos de una red fracturada

El 20 de julio de 2025, a las 12:55 UTC, Pergamon Status descubrió el archivo howl.txt en sus servidores — prueba de que Direwolf había ejecutado el ataque. Ya se había publicado una muestra de los archivos robados, y si no se pagaba el rescate en 48 horas, los 50 GB restantes serían filtrados el 30 de julio. La cuenta atrás había comenzado.

Las consecuencias fueron inmediatas y se extendieron más allá del plano digital:

• Suspensión de operaciones logísticas(estimado): El sistema SAP S/4HANA, responsable de coordinar miles de envíos mensuales a clínicas odontológicas, quedó fuera de servicio.

• Interrupción de comunicaciones con socios(estimado): Con 976 clientes activos y 19 proveedores, la empresa activó líneas telefónicas de emergencia y direcciones de correo temporal para gestionar la crisis.

• Intervención de equipos forenses(estimado): Se solicitaron expertos en ciberseguridad — posiblemente desde Alemania o Reino Unido — para analizar vectores de ataque, contener el incidente y asesorar sobre una posible negociación.

• Notificación obligatoria a autoridades(estimado): Según la Ley turca de Protección de Datos (KVKK), Pergamon Status debía informar al BTK y a las personas afectadas en un plazo de 72 horas.

Pero más allá del caos operativo, la red seguía marcada por la huella de Direwolf:
Credenciales clandestinas, copias de seguridad manipuladas y un temporizador activo en la dark web que anunciaba el siguiente movimiento.

Pergamon Status se enfrentaba a una decisión desgarradora:
¿Callar y pagar el rescate?
¿O resistir y arriesgarlo todo?

Con cada hora que pasaba, la presión aumentaba. Y en el epicentro de una tormenta digital, una empresa turca luchaba por no desaparecer del mapa.

El precio del hielo – ¿Cuánto costó realmente el golpe de Direwolf?

La ofensiva de Direwolf contra Pergamon Status el 20 de julio de 2025 no solo dejó daños informáticos. Fue un terremoto financiero, operativo y legal. A continuación, se detallan estimaciones realistas del impacto económico que sufrió la compañía tras el ataque:

Solicitud de rescate

Basado en casos anteriores atribuidos a Direwolf, se estima una demanda de 500.000 USD — equivalente a ≈460.000 EUR, o ≈16 millones de liras turcas en julio de 2025.

Respuesta al incidente y recuperación

Según Cloudwards.net, el coste promedio de recuperación para una empresa víctima de ransomware asciende a 2,73 millones USD, incluyendo análisis forense, restauración de sistemas, asesoría legal y comunicación. Estimación en moneda local: ≈88 millones TRY.

Pérdida operativa

La paralización de sistemas durante 24 días — incluyendo SAP y Oracle — habría generado una pérdida de ingresos de ≈2.600 EUR diarios (≈90.000 TRY). Total estimado: ≈2,2 millones TRY.

Multas regulatorias y cumplimiento legal

Por fuga de datos personales, la ley turca KVKK establece sanciones proporcionales al ingreso anual. Una multa del 2% sobre ingresos brutos se traduce en unos ≈20.000 EUR (≈700.000 TRY) en este caso.

Total estimado de pérdidas

≈107 millones TRY
(≈3,3 millones EUR)

Una cifra monumental — incluso si no se pagó el rescate. Y eso sin contabilizar pérdidas de reputación, erosión de confianza de clientes ni litigios futuros.

 La última muralla – Una victoria olvidada con Cy-Napea®

Cuando las redes de Pergamon Status ardían bajo el fuego de Direwolf, emergió un nombre que podría haberlo cambiado todo: Cy-Napea®, la plataforma de Aurora Consolidated Ltd. Mucho más que un antivirus: una arquitectura unificada de defensa cibernética diseñada para anticipar, contener y revertir cualquier amenaza, incluso una tan devastadora como Direwolf.

La educación como escudo humano

La mayoría de los ataques empiezan con un error humano. Pero Cy-Napea® combate esto desde la base:

• El personal de compras habría identificado una factura falsa antes de abrirla.

• El equipo logístico habría detectado inconsistencias en un falso llamado de soporte técnico.

• Todos los empleados sabrían cómo reportar una amenaza antes de que las credenciales fueran comprometidas.

Cy-Napea® transforma al equipo humano en la primera línea de defensa.

Mensajes detenidos antes de nacer

La protección de correo electrónico basada en IA detecta patrones maliciosos en tiempo real:

• Detención de intentos de suplantación de identidad

• Enlace infectado neutralizado antes de entregarse

• Mensajes bloqueados por comportamiento sospechoso del remitente

Las trampas de Direwolf habrían quedado atrapadas antes de llegar al buzón de entrada.

Defensa inteligente desde adentro

Incluso si el atacante logra acceso inicial, Cy-Napea® contraataca:

• Herramientas como Mimikatz son detectadas y bloqueadas de inmediato

• Sistemas que activan cifrado son aislados automáticamente

• Comportamientos anómalos disparan alertas y bloquean exfiltración de datos

Los 50 GB de información sensible jamás habrían salido de la red.

Restauración que elimina el chantaje

Y si todo falla, entra en juego lo definitivo:

• Backups inmutables protegidos contra alteración

• Restauración con un solo clic de sistemas críticos como Oracle y SAP

• Operaciones reestablecidas en horas, sin pagar rescate

Cy-Napea® transforma el desastre en una recuperación silenciosa.

Nota legal: 

Esta reconstrucción se basa en fuentes públicas como Ransomware.live, HookPhish, StockAnalysis.com, Simply Wall St, Investing.com, İş Yatırım, Financial Times y materiales oficiales de Cy-Napea®. La realidad puede variar según el entorno específico de cada organización.

Fuentes:

• Ransomware.live – Ataque de Direwolf a Pergamon Status

• HookPhish – Análisis técnico de Direwolf

• StockAnalysis.com – Valor de mercado de PSDTC

• Simply Wall St – Perfil financiero de Pergamon

• Investing.com – Datos bursátiles PSDTC

• İş Yatırım – Análisis financiero PSDTC

• Financial Times – Bolsa de Estambul: PSDTC

• Trustwave SpiderLabs – Perfil del grupo Direwolf

• Cloudwards.net – Estadísticas de ransomware

• Cy-Napea® – Visión general de la plataforma

• Cy-Napea® – Caso Marks & Spencer