Los incidentes de ransomware siguen apareciendo con una frecuencia asombrosa en todo el mundo. Especialistas reportan que Telecom, el proveedor de servicios de Internet más grande de Argentina, fue víctima de una infección de malware de cifrado; al parecer, los atacantes exigen un rescate de 7.5 millones de dólares para liberar los archivos comprometidos.
Informantes cercanos a la compañía afirman que los criminales causaron serios estragos en las redes de Telecom, encontrando una vía de acceso a través de un administrador de dominio interno, desde donde el malware fue propagado al resto de la infraestructura informática de la compañía. Algunos dominios propiedad de Telecom han estado fuera de línea desde el fin de semana, aunque los usuarios de la compañía no se han visto afectados.
Algunos empleados de la compañía revelaron detalles sobre el ataque en redes sociales. Los investigadores creen que el incidente fue detectado de inmediato por el equipo de TI de la firma, notificando a los empleados sobre la actividad maliciosa y emitiendo algunas recomendaciones de seguridad.
Respecto a los perpetradores, el ataque fue atribuido al grupo REvil (también conocido como Sodinokibi). Al parecer, los hackers ya han revelado el incidente en su plataforma de dark web, donde han publicado algo de la información comprometida. Los hackers exigen un rescate de 109345 unidades de Monero, que equivale a 7.5 millones de dólares, uno de los mayores incidentes de hacking registrados en Sudamérica.
Hasta el momento, la compañía no ha comentado nada respecto al incidente. No obstante, los informantes afirman que la compañía atribuye el ingreso de la infección a un correo electrónico malicioso recibido por uno de sus empleados, aunque los especialistas señalan que este ataque no se ajusta al modo de operación de REvil.
Investigadores y firmas de seguridad que han analizado los ataques de este grupo de hacking concuerdan en que REvil se especializa en infecciones basadas en la red, buscando máquinas sin actualizaciones para extenderse en las redes afectadas.
La firma de ciberseguridad Bad Packets cree que los hackers habrían ejecutado servidores VPN Citrix, además de una instancia vulnerable a la explotación de CVE-2019-19781. Otros investigadores creen que dos fallas en un producto antivirus también podrían estar relacionadas con el ataque.
Este es también el segundo ataque de la banda REvil contra la red de un proveedor de servicios de Internet. La banda REvil también atacó recientemente a Sri Lanka Telecom, el más grande proveedor de telefonía fija en el país asiático.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.