Telecom Argentina, víctima de un ataque ransomware

Una importante compañía de ISP de Argentina fue víctima de un ataque ransomware el 18 de julio. Este ataque es uno de los mayores ataques cibernéticos de la historia de Argentina. Los actores maliciosos exigieron a la compañía ISP Telecom Argentina pagar un rescate de 7,5 millones de dólares para recuperar los archivos codificados.

El ataque ocurrió durante el fin de semana, y se identificó que los actores del ransomware lograron obtener el control de una cuenta interna de Administración de Dominios, desde la cual distribuyeron la carga de malware a 18 000 estaciones de trabajo.

Aunque el hackeo tuvo éxito, el ataque no afectó la conectividad de Internet del ISP a los clientes; sin embargo, los sitios web oficiales de la compañía estuvieron caídos por un tiempo.

¿Cómo respondió Telecom Argentina?

La compañía detectó el ataque en una etapa temprana y restringió a los empleados a interactuar con la red corporativa, conectarse a través de la VPN interna y abrir cualquier correo electrónico spam o sus archivos adjuntos.

¿Quién estaba detrás del hackeo?

El grupo de ransomware REvil, el mismo grupo responsable del ransomware de Sodinokibi, ha tomado la responsabilidad del ataque. El grupo alojó una página web que mostraba la demanda de rescate en Monero, una forma de cripto moneda, equivalente a unos 7,53 millones de dólares; también han mencionado que si el pago no se hace en tres días, la cantidad del rescate podría duplicarse.

La banda REvil ya ha estado involucrada en varios incidentes, en los que generalmente se infiltran en una red a través de equipos o aplicaciones de red sin parches y se extienden lateralmente a través de la red de la empresa. Ya han violado los datos dePulse Secure, Citrix VPN, and Srilanka Telecom en el pasado.

Además, Telecom Argentina estuvo ejecutando una instancia vulnerable de Citirx CVE-2019-19781 durante un mes, incluso cuando estaba disponible un parche. Así lo dijo Bad Packets, una empresa de inteligencia de amenazas.

Como en la mayoría de los ataques de ransomware, REvil revelará los datos a la Dark Web si el rescate no se paga a tiempo.

Cómo Telecom Argentina podría haber evitado a REvil

Basándose en los detalles mencionados anteriormente, los atacantes entraron en la red a través de un correo electrónico de spam, luego explotaron una vulnerabilidad de Citrix sin parches y finalmente tomaron el control de la cuenta del Administrador del Dominio. Aunque la empresa reaccionó rápidamente detectando la brecha y educando a sus empleados en las mejores prácticas cibernéticas, el caos podría haberse evitado por completo si la empresa hubiera actuado de manera proactiva.

  • Evite los archivos adjuntos maliciosos diciendo a los empleados que se mantengan alejados de los correos electrónicos anónimos y sospechosos.
  • Corrija las vulnerabilidades de la red tan pronto como los parches estén disponibles.
  • Aplique parches a todos los endpoints y a sus aplicaciones de manera oportuna.
  • Examine los puertos abiertos para evitar infecciones laterales.

Telecom Argentina es un maravilloso caso de estudio sobre por qué ser proactivo siempre es mejor que ser reactivo. Cuando se trata de amenazas de software de ransomware, es esencial emplear una seguridad informática proactiva para su empresa, incluso si está haciendo copias de seguridad completas con regularidad.

  Zoho Corp. All rights reserved.