Pandilla de ransomware exige $ 7,5 millones al ISP argentino



Una pandilla de ransomware ha infectado la red interna de Telecom Argentina, uno de los proveedores de servicios de Internet más grandes del país, y ahora solicita una demanda de rescate de $ 7,5 millones para desbloquear archivos cifrados. El incidente tuvo lugar durante el fin de semana, el sábado 18 de julio, y es considerado uno de los mayores hacks de Argentina.
Fuentes dentro del ISP dijeron que los piratas informáticos causaron grandes daños a la red de la compañía después de que lograron obtener el control de un administrador de dominio interno, desde donde se extendieron e instalaron su carga útil de ransomware en más de 18,000 estaciones de trabajo. El incidente no provocó la caída de la conectividad a Internet para los clientes del ISP, ni afectó a los servicios de telefonía fija o televisión por cable; sin embargo, muchos de los sitios web oficiales de Telecom Argentina han caído desde el sábado. Desde el inicio del ataque, varios empleados de Telecom ahora también han recurrido a las redes sociales para compartir detalles sobre el incidente y cómo el ISP ha estado manejando la crisis.
Según las imágenes compartidas en línea, el ISP parece haber detectado la intrusión de inmediato y ha estado advirtiendo activamente a los empleados a través de alertas internas para limitar su interacción con la red corporativa, no conectarse a su red VPN interna y no abrir correos electrónicos que contengan archivos de archivo . Fuente de la imagen: [protegida] Fuente de la imagen: [protegida] Los atacantes también han sido identificados como el grupo de ransomware REvil (Sodinokibi), según un tweet ahora eliminado que muestra el oscuro portal web de la pandilla de ransomware, la página donde se dirige a las víctimas Realizar pagos. Actualmente, esta página web muestra una demanda de rescate de 109345.
35 monedas Monero (~ $ 7,53 millones), una suma que se duplicará después de tres días, lo que hace que esta sea una de las mayores demandas de rescate solicitadas en un ataque de ransomware este año. Fuente de la imagen: [desconocido] Telecom Argentina no ha comentado sobre el incidente, cuando fue contactado por la prensa local, y no dijo si tiene la intención de pagar la demanda de rescate.
Los medios locales también informaron que el ISP cree que el punto de entrada del hacker es un archivo adjunto de correo electrónico malicioso recibido por uno de sus empleados, pero esto generalmente no encaja con el modus operandi normal de la pandilla REvil. Según un informe de la firma de seguridad Advanced Intel, durante el año pasado, la pandilla REvil se ha especializado en llevar a cabo intrusiones basadas en la red, apuntando a equipos de red sin parches como punto de entrada a las organizaciones de víctimas y antes de extenderse lateralmente a través de la red de una empresa. En el pasado, los operadores REVil se han centrado en Pulse Secure y Citrix VPN y los sistemas de puerta de enlace empresarial como puntos de entrada.
En una conversación el domingo, la compañía de inteligencia de amenazas Bad Packets le dijo a ZDNet que Telecom Argentina no solo ejecutaba servidores VPN Citrix, sino que también había ejecutado una instancia de Citrix vulnerable al error de seguridad CVE-2019-19781 meses después de que un parche estuviera disponible. Algunos investigadores de seguridad han señalado con el dedo dos archivos cargados en el antivirus antivirus VirusTotal como utilizados en el ataque de Telecom Argentina, aunque no pudimos verificar de inmediato esta afirmación. La pandilla de ransomware REvil también mantiene un portal web de dakr donde filtra datos que robó de hosts infectados en caso de que las compañías no paguen.
Al momento de escribir esto, el "sitio de filtración" de REvil no incluía a Telecom Argentina como uno de las organizaciones de víctimas de las que la banda REvil planeaba filtrar archivos. Este es también el segundo ataque de la banda REvil contra la red de un proveedor de servicios de Internet. La banda REvil también atacó a Sri Lanka Telecom, los grandes proveedores de telefonía fija en Sri Lanka, en mayo.
pags VER GALERÍA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı