Durante el fin de semana, el grupo de ransomware REvil (Sodinokibi) se dirigió a Telecom Argentina, uno de los proveedores de servicios de Internet más grandes del país. El grupo ahora está exigiendo US$7.5 millones en rescate, y esa suma supuestamente se duplicará después de tres días. El incidente no causó ningún daño a los clientes del ISP, pero los sitios web oficiales de la compañía han caído desde el sábado y 18,000 computadoras han sido infectadas después de que los piratas informáticos obtuvieron el control de un administrador de dominio interno.
Incidente
El incidente tuvo lugar el sábado 18 de julio, y es considerado uno de los mayores hacks de Argentina. Fuentes dentro del ISP dijeron que los piratas informáticos causaron grandes daños a la red de la compañía después de que lograron obtener el control de un administrador de dominio interno, desde donde se extendieron e instalaron su carga útil de ransomware en más de 18,000 estaciones de trabajo. El incidente no provocó la caída de la conectividad a Internet para los clientes del ISP, ni afectó a los servicios de telefonía fija o televisión por cable; sin embargo, muchos de los sitios web oficiales de Telecom Argentina han caído desde el sábado. Desde el inicio del ataque, varios empleados de Telecom ahora también han recurrido a las redes sociales para compartir detalles sobre el incidente y cómo el ISP ha estado manejando la crisis.
Infección
La carga se entregó en un archivo adjunto de correo electrónico que fue descargado y abierto por uno de los empleados. Finalmente, los atacantes secuestraron un administrador de dominio interno y lo usaron para extender la infestación a más de 18,000 estaciones de trabajo. Después de detectar la infiltración, la compañía envió una comunicación interna a sus empleados de servicio al cliente sobre el incidente. El aviso, que luego fue compartido por los empleados en varias plataformas de redes sociales, instó al personal a minimizar el acceso, incluso a través de VPN, a la red corporativa. También se les dijo a los empleados que no abrieran correos electrónicos de direcciones desconocidas y que apagaran inmediatamente cualquier computadora comprometida.
Ransomware REvil (Sodinokibi)
Según ZDNet, la compañía de telecomunicaciones fue golpeada por el ransomware Sodinokibi, también conocido como REvil, además de exigir un pago por desbloquear el acceso a los archivos, se sabe que los operadores del ransomware Sodinokibi aumentan la presión sobre las víctimas al amenazar con descargar su información confidencial en línea.
Sodinokibi, es un malware de tipo ransomware: cifra los archivos en máquinas infectadas y exige un rescate de las víctimas para restaurarlos. Se distribuye con un modelo de negocio de Ransomware como servicio (RaaS), lo que permite que cualquier persona que pueda pagar, podría convertirse en un operador del malware.
Sodinokibi apareció por primera vez en el radar de los investigadores de ciberseguridad en abril de 2019. En la actualidad sabemos que afecta tanto a las pequeñas como a las grandes empresas, destacando ya que los montos de rescate se ajustan al tamaño de la organización y a la cantidad de archivos cifrados. En relación con otros tipos de ransomware, tiene una alta tasa de éxito de recuperación después de realizar un pago de rescate, la herramienta de descifrado es relativamente sencilla de usar.
Malware como servicio
Malware como servicio es muy parecido a cualquier servicio cloud tradicional, pero en lugar de suscribirse a una aplicación inofensiva en la nube, los cibernautas pueden suscribirse a servicios de malware del mercado negro que les proporcionan todas las herramientas que necesitan para ejecutar ataques.
Vector de infección
La forma más frecuente para que Sodinokibi llegue a los dispositivos es a través de un correo electrónico malicioso en una campaña de phishing. El correo electrónico contiene un enlace que solicita a los destinatarios que descarguen un archivo zip que contiene el payload de Sodinokibi. Los atacantes distribuyen malware de esta manera, ya que hace que sea más fácil llegar a la víctima y también porque distribuir el malware en un archivo comprimido ayuda a evadir los sistemas de protección antivirus. El archivo comprimido normalmente contiene un archivo JavaScript ofuscado.
Comportamiento del ransomware Sodinokibi:
Telecom Argentina S.A.
Telecom Argentina S.A. es una compañía de telecomunicaciones que opera en Argentina, Paraguay y Uruguay. Dentro de los límites nacionales, la empresa es conocida simplemente como Telecom.
Ofrece telefonía fija nacional e internacional, telefonía pública, Discado Directo Entrante (DDE), centrex, líneas punto a punto, 0800 y 0810, telecentros y monocanales. Además ofrece acceso a internet al hogar por diversas tecnologías (FTTH, HFC, VDSL, ADSL) con Fibertel, telefonía móvil con Personal y televisión con Cablevisión.
Fundada en 1990, la firma con sede en Buenos Aires tiene más de 16,000 empleados y posee uno de los tres operadores de telefonía móvil en el país.
Panorama
Tomando prestada gran parte de la funcionalidad del ya bastante potente ransomware GandCrab, Sodinokibi lo mejora aún más para convertirse en una verdadera fuente de poder del ransomware. Desafortunadamente, la evidencia sugiere que este malware es desarrollado por ciberdelincuentes experimentados que saben cómo construir y distribuir un virus y su accesibilidad, gracias al modelo de negocio de malware como servicio lo convierte en una amenaza real para empresas y personas de todo el mundo.
La cantidad inusualmente alta del rescate exigido puede indicar que los atacantes obtuvieron acceso completo al ISP y es probable que este sea uno de los ataques de ransomware más caros de este año.
El Servicio Secreto de EE.UU. ya había emitido una alerta a principios de este año diciendo que MSP (Managed Service Providers) y organizaciones como ISP son cada vez más tentadoras como blanco de cibercriminales. Dada la cantidad de datos confidenciales de los clientes que manejan, o los servicios comerciales críticos que brindan, estas víctimas son altamente susceptibles de pagar rápidamente el rescate para evitar daños y asegurarse de que el incidente permanezca de bajo perfil.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda:
Producto | Versión |
---|---|
Microsoft Windows |
8 8.1 10 |
Microsoft Windows Server |
2012 2012 R2 2016 2019 |