Bl0ckch41nnewsActivan protocolos de emergencias por ransomware al proveedor de telecomunicaciones IFX NETWORKS (Actualizado!) ~ Segu-Info

[ad_1]

El miércoles 13 de septiembre entidades públicas y empresas colombianas,
chilenas y argentinas, amanecieron con una terrible noticia, habían sido
víctimas de un ciberataque, debido a que la multinacional IFX Networks que
contrataron fue vulnerada y de esta forma sus clientes se vieron afectados.

Este jueves es el segundo día de operaciones del Mando Unificado Ciber del
Gobierno de Colombia para atender las consecuencias del ataque cibernético que
sufrió IFX, según un comunicado del Ministerio de Tecnologías de la
Información.

La compañía IFX Networks (Netglobalis en Chile) es proveedora de soluciones de
telecomunicaciones, con presencia en 17 países y principal proveedora de
telecomunicaciones en Colombia.
CNN solicitó a la empresa un comentario
para saber cuáles han sido los avances que han tenido desde el ataque, pero
no recibieron respuesta.

Un
ataque a infraestructuras críticas de Estado puede afectar la vida diaria
de millones de personas

que necesitan acceso urgente a servicios de salud y de justicia. Algunos de
los portales afectados son la Superintendencia de Salud y el Consejo Superior
de la Judicatura, que decidió suspender operaciones y trámites judiciales en
todo el país desde este jueves hasta el miércoles de la semana próxima.

No solo grandes entidades del Estado están siendo afectadas por esta
situación. Pequeñas empresas que funcionan gracias a software que funciona en
la nube tienen sus operaciones paradas por cuenta del incidente con IFX
Network.

El ministro del Ministerio de Tecnologías de la Información y Comunicaciones
de Colombia, Mauricio Lizcano anunció el miércoles en X -antes Twitter- que
son más de 800 las organizaciones afectadas por este ataque, no solo en
Colombia, sino también en Chile y Argentina, sin detallar el número de
portales de gobierno y privados colombianos afectados. >Asimismo, la
empresa manifestó́ que
«tiene contratos con 46 entidades públicas; 25 tienen servicios de
conectividad y 21 tienen servicios de data center (nube)»
.

El ataque corresponde a un ransomware en donde no solo atacaron IFX Networks
en Colombia, con el cual secuestraron los datos que tenía IFX Networks en sus
servidores, en nubes y esto ha afectado empresas y entidades importantes de
varios países. El acceso a la justicia está comprometido pero quizás el tema
más grave tiene que ver con acceso a servicios de salud a través de la
Superintendencia de Salud.

¿Qué pasó?

Como IFX es un proveedor internacional de servicios gestionados, otros
clientes podrían ser víctima de nuevos ataques en consecuencia de este
incidente, lo que
se conoce también como, Ataque a la Cadena de Suministro
(Supply Chain Attack).

Si bien
aún no es posible confirmar los autores de este ataque ya que falta
evidencia concluyente
, se ataque parecería estar relacionado al Ransomware del grupo
autodenominado «RansomHouse», aunque diversos medios lo han bautizado
«MARIO» por la siguiente imagen.

La imagen circula en diferentes chats privados esta captura que demostraría
que los autores del ataque son el grupo mencionado y conocidos también por
ser los autores del ataque a Sanitas.

Ante la falta de información oficial, desde diversos medios han procedido a
crear una lista de
sitios afectados
y su estado de situación.

Se cree que RansomHouse se lanzó en diciembre de 2021
con su primera víctima, supuestamente la Autoridad de Juegos y Licores de
Saskatchewan (SLGA), que ahora figura en el sitio de extorsión. Los ataques
han continuado desde entonces, y en ciertos casos los afectados han sido
empresas como AMD, de la que se robaron 450 GB de datos. Recientemente se hizo
conocido luego de un
ataque a gran escala a un hospital Clinic de Barcelona, que se vió obligado a desprogramar 150 operaciones por el ciberataque.

En aquella ocasión
BleepingComputer logró contactar con los miembros de RansomHouse, que explicaron que ni siquiera habían intentado contactar con AMD porque
«lo consideramos una pérdida de tiempo: será más valioso vender los datos
que esperar a que los responsables de AMD reaccionen con toda la burocracia
que eso implica»
.

En un
informe publicado por Cyberint, los analistas encontraron publicaciones de Telegram promocionando
RansomHouse en el canal de Telegram de Lapsus$. Esto indica que los actores de
amenazas están igualmente interesados en vender datos a otros actores de
amenazas, así como a la víctima.

Mientras, en su sitio web en la Dark Web RansomHouse se autodefine como
«una comunidad de mediadores profesionales», la actividad de este
grupo, es algo distinta a la de otros de este estilo: según esa actividad
RansomHouse no es una actividad independiente, sino que emerge dentro de otros
grupos de ciberatacantes. El informe de mayo de 2022 revelaba que
este grupo podría estar formado por expertos en ciberseguridad
cansados de intentar obtener recompensas por detectar fallos de seguridad en
empresas y entidades.

Los responsables de RansomHouse añaden que las empresas afectadas que se
niegan a pagar por este tipo de trabajo
«tendrán que hacer frente a costes legales y de reputación». Afirman
que en esos casos no solo divulgarán la información en su sitio web o canal
oficial de Telegram,
«sino que también llamaremos la atención de periodistas, público y terceros
sobre el problema y haremos todo lo necesario para que el incidente sea lo
más público posible».

Si bien no se ha confirmado, el vector inicial de la infección habrían sido correo con archivos adjuntos
en formato comprimido (ZIP, RAR, ACE, GZ, etc) y habrían provenido desde
diferentes locaciones de proveedores internacionales.

Los
CSIRT de los países afectados han publicado información
y la siguiente infografía sobre el ataque y el vector de compromiso
¿01 de septiembre?

El grupo aún no ha publicado en su sitio web «oficialmente» el nombre de la
víctima IFX pero es porque suelen disponibilizar los datos robados a través de
Torrent y nuevos dominios en la Darknet. Es decir que es de esperar que lo
hagan en los próximos días y el impacto actual podría ser mucho mayor del
esperado.

Actualización 14/09


Estos son los hashes SHA-256 de los archivos adjuntos en los correos
electrónicos que se han visto in-the-wild y que se pueden usar como
IoC, si bien seguramente estén cambiando continuamente.

En este momento hay información falsa y/o antigua que atribuye ciertos
IoC (hashes, IPs, etc.) a este ataque pero que NO corresponden al mismo.
Por ejemplo, el
hash
02fab97fe…
o
0cbb6c8b7b…
corresponden a una campaña de malware de mayo de 2021.

Si tienes información real y fidedigna, puedes compartirla con nosotros.

Actualización 15/09

Escribe Ciberseguridad Latam
«Una de las cuestiones más inquietantes es la falta de información
detallada proporcionada por IFX Networks sobre el ataque cibernético. A
pesar de la gravedad del incidente y su impacto en múltiples países, la
compañía ha optado por mantener un silencio que solo ha servido para
alimentar la especulación y la ansiedad de sus clientes… En un momento en
que la ciberseguridad es de vital importancia y los ciberataques están en
constante evolución, la transparencia de las empresas que gestionan
infraestructuras críticas es esencial.

Actualización 16/09

El
proveedor se está comunicando
con los clientes e informando lo siguiente:

Sin dudas esta información es absolutamente parcial e incontrastable pero,
evidentemente la empresa se arriesga a decir que nada pasará con los datos de
sus clientes. Y, ¿si pasa?

En el texto, publicado en la página web de la empresa, afirman que no hay
ninguna evidencia de que haya fuga de datos, ni tampoco de que estos hayan
sido publicados en la web oscura (dark web) y recalcan que si en algún momento
el escenario cambia se le notificará a sus clientes de manera oportuna.

De todas formas, ¿Qué espera la empresa para hacer público lo ocurrido y dar
explicaciones claras a cientos de clientes que continúan incomunicados
perdiendo millones de dólares en el proceso?


IFX siguen sin informar al Gobierno ni a nadie la cantidad exacta de
organizaciones afectadas, el alcance del ataque y su impacto, el tipo de
ransomware utilizado, ni detalles de lo ocurrido.

Actualización 18/09

IFX finalmente comunica de forma oficial lo sucedido:

Con el propósito de que el público en general esté correctamente informado
sobre el ataque de Ransomware ocurrido, comunicamos lo siguiente:
Actualizaciones de estado
|
FAQ

La combinación de una técnica de scrapping (extracción de información
de sitios web) junto al desarrollo de un
script automatizado de MundoHacker
permite concluir que de 19.301 sitios web alojados en parte de Infraestructura
IFX Networks 14.902 están sin servicio casi ocho días después de conocerse el
ataque de ransomware.

Actualización 22/09

Finalmente los
CSIRT de Colombia y Chile han publicado los
IoC relacionados al ataque y un análisis del comportamiento del
ransomware
 [PDF].

El software malicioso denominado MarioLocker que afecto a IFX, se instala y a
través de las TTP’s ya descritas, descarga un payload de tipo
Ransomware, el cual al ejecutarse usa la dirección MAC e IP del equipo para la
generación de la clave de cifrado de los volúmenes virtuales (ESXi).

Se supone que los atacantes aprovecharon una vulnerabilidad conocida en
el servicio OpenSLP (CVE-2021-21974) para luego dirigir el ataque en los servidores VMware ESXi. El malware
tiene unas variables de ejecución estrictas, para asegurar su funcionamiento
en hipervisores ESXI de VMWare, además de contar con ofuscación de tipo
hexadecimal. Las muestras halladas guardan gran similitud con el código fuente
del ransomware Babuk.


Por eso se recomienda actualizar a la brevedad CVE-2021-21972,
CVE-2021-21973, CVE-2021-21974, de acuerdo al
informe oficial de VMWare VMSA-2021-0002.

De acuerdo a Germán Fernández (aka @1ZRR4H)
RansomHouse cifró aproximadamente 330 servidores de la red de IFX Networks y
estos equipos entregaban servicios a 9 países distintos.

  1. Colombia 193
  2. Miami 41
  3. Argentina 36
  4. Panamá 28
  5. Honduras 13
  6. Chile 8
  7. Perú 6
  8. Guatemala 3
  9. México 2

Hashes

  • 8189c708706eb7302d7598aeee8cd6bdb048bf1a6dbe29c59e50f0a39fd53973
  • b518be7a044c8248a97cdbf8fabcaf36cfd4c0e7d1fe197e2c367c94d38965f4
  • bfc9b956818efe008c2dbf621244b6dc3de8319e89b9fa83c9e412ce70f82f2c
  • f059441faa1da0529c87586572c41c57465cc97f2d6d2e1d0aa91ee080aebada
  • f7600b701815faeadfa063a8b45cda2746465f0d395cdcfc8c300593ff8aa0e6
  • db55383b6521a152492a5767009ad308ac46bc6cfc10e9f3bfee78110e33fdd5
  • 1ee95fc46f676b5a38ed77c997ff88224a302247e448329c6248e3d2a7f6bedd

IP – C2C Relacionadas

  • 20.99.184[.]37
  • 192.229.211[.]108
  • 104-168-132-128.nip[.]io

Actualización 26/09

Expertos del CSIRT de Chile prepararon este Informe de Inteligencia de
Amenazas
, donde detallan lo que se sabe del ransomware que afectó a #IFX
durante septiembre de 2023. ¡Gran trabajo!

Cristian de la Redacción de Segu-Info




[ad_2]

Source link

Los comentarios están cerrados.