Grupo de ransomware exige $7,5 millones a ISP argentino
Una pandilla de ransomware ha infectado la red interna de Telecom Argentina, uno de los proveedores de servicios de Internet más grandes del país. El grupo está solicitando $7.5 millones como rescate para desbloquear archivos cifrados.
El incidente tuvo lugar durante el fin de semana, el sábado 18 de julio, y es considerado uno de los mayores incidentes de Argentina.
Fuentes dentro del ISP dijeron que los hackers causaron grandes daños a la red de la compañía. Esto después de que lograron obtener el control de un administrador de dominio interno. Desde ahí se extendieron e instalaron un payload de ransomware en más de 18,000 estaciones de trabajo.
El incidente no provocó la caída de la conectividad a Internet para los clientes del ISP. Tampoco afectó a los servicios de telefonía fija o televisión por cable. Sin embargo, muchos de los sitios web oficiales de Telecom Argentina no están disponibles desde el sábado.
Desde el inicio del ataque, varios empleados de Telecom recurrieron a las redes sociales para compartir detalles sobre el incidente. También para informar cómo el ISP ha estado manejando la crisis.
Según las imágenes compartidas en línea, el ISP parece haber detectado la intrusión de inmediato. El ISP ha estado advirtiendo activamente a los empleados a través de alertas internas para limitar su interacción con la red corporativa. Recomendaron no conectarse a su red VPN interna y no abrir correos electrónicos que contengan archivos.
Grupo detrás del ataque
Los atacantes también han sido identificados como el grupo de ransomware REvil (Sodinokibi). Esto según un tweet ahora eliminado que muestra el portal en la web oscura del grupo de ransomware. Esta es la página donde se dirige a las víctimas para que realicen los pagos.
Esta página web actualmente muestra una demanda de rescate de 109345.35 Monero (~ $7.53 millones). La suma se duplicará después de tres días. Esta particularidad hace que esta sea una de las mayores demandas de rescate solicitadas en un ataque de ransomware este año.
Telecom Argentina no ha comentado nada sobre el incidente, cuando fue contactado por la prensa local. Tampoco informó si tiene la intención de pagar la demanda de rescate.
Los medios locales también informaron que el ISP cree que el punto de entrada de los hackers fue un archivo adjunto de correo electrónico malicioso. El correo fue recibido por uno de sus empleados, pero esto generalmente no encaja con el modus operandi normal de la pandilla REvil.
Según un informe de la firma de seguridad Advanced Intel, durante el año pasado, la pandilla REvil se ha especializado en llevar a cabo intrusiones basadas en la red. El grupo apunta a equipos de red sin parches como punto de entrada a las organizaciones víctimas. Estas acciones las lleva a cabo antes de extenderse lateralmente a través de la red de una empresa.
En el pasado, los operadores REVil se han centrado en Pulse Secure y Citrix VPN. Además de los sistemas de puerta de enlace empresarial como puntos de entrada.
Vulnerabilidades explotadas
En una conversación el domingo, la compañía de inteligencia de amenazas Bad Packets afirmó que Telecom Argentina ejecutó software vulnerable. Ejecutó servidores VPN Citrix. También ejecutó una instancia de Citrix vulnerable a la vulnerabilidad de seguridad CVE-2019-19781, esto, meses después de que un parche ya estaba disponible.
Algunos investigadores de seguridad han señalado con el dedo dos archivos subidos a VirusTotal. Estos son señalados como los utilizados en el ataque de Telecom Argentina, aunque no pudimos verificar de inmediato esta afirmación.
La pandilla de ransomware REvil también mantiene un portal web oscuro donde filtra datos que robó de hosts infectados. Esta es la consecuencia de las compañías que no pagan.
Al momento de escribir este artículo, el “leak site” de REvil no incluía a Telecom Argentina como una de las organizaciones de víctimas. La empresa no figuraba entre las cuales la banda de REvil planeaba filtrar archivos.
Este es también el segundo ataque del grupo REvil contra la red de un proveedor de servicios de Internet. El grupo REvil también atacó a Telecom Sri Lanka, los grandes proveedores de telefonía fija en Sri Lanka, en mayo.