Banco Estado detectó software malicioso en sus sistemas.

Todo lo que debes saber sobre el cibera-taque a Banco Estado

-“ESTA INFORMACIÓN
NO SE PUEDE DIVULGAR FUERA DE SU UNIDAD
“-

Ayer domingo, de madrugada, BancoEstado sufrió ciberataque e intermitencias en sus servicios durante largas horas debido a un malware que accedió a su plataforma. A esta hora, el sitio del banco se encontra fuera de servicio.

El Ramsonware que atacó al banco, se llama Sodinokibi, CSIRT compartió toda la documentación con los bancos pero le puso TLP alto para que no se filtre la información.

“Durante este fin de semana, BancoEstado detectó en sus sistemas operativos un software malicioso. Apenas fue descubierto este problema, nuestros equipos de operaciones y de ciberseguridad se desplegaron para localizar, contener y solucionar esta situación”, informó la empresa.

Sin duda, se trata de uno de los ataque más grande en materia de Ciberseguridad en Chile en los últimos años. Sobretodo porque afecta al Banco más importante del país.


En estos momentos todos los medios internacionales están hablando del incidente de Ciberseguridad en Chile.

“El Punto más importante es que hay poca cultura en seguridad informática en nuestro país estamos prácticamente en pañales, sobre todo en tema de leyes” señala Rodrigo Pizarro Ingeniero informático en conversación con Piensa Prensa.

COMUNICADO

06.09.2020
DIVISIÓN DE REDES Y SEGURIDAD INFORMÁTICA
DEPARTAMENTO CSIRT
Este documento está clasificado como TLP //////// . Los receptores pueden compartir esta información solo con miembros de su propia organización que necesitan conocerla, y con entidades asociadas que necesiten conocerla para protegerse a sí mismos o evitar daños. ESTA INFORMACIÓN
NO SE PUEDE DIVULGAR FUERA DE SU UNIDAD.

COMUNICADO SOBRE ALERTA CIBERNÉTICA ALTA
ANÁLISIS DE VECTORES DE ATAQUES ACTIVOS

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRTGOB, realizó un análisis a partir de múltiples fuentes, sobre uno de los vectores de ataques que está circulando en el ecosistema nacional.

No se descarta que este vector pueda estar involucrado en el ataque dirigido a las entidades privadas de la economía local en las últimas horas.
El atacante analizado fue el Ransomware Sodinokibi, el cual es un programa distribuido con un modelo de negocio Ransomware-as-a-Service, detectado por primera vez en una campaña en el 2019.

Al comienzo del proceso de ejecución, Sodinokibi intenta obtener privilegios explotando algunas vulnerabilidades, después de esta etapa el malware recopila datos básicos del sistema y del usuario, para luego generar el cifrado de datos.

https://aaf.freshdesk.com/support/solutions/articles/19000073277-tlp-traffic-light-protocol-


Algunos métodos de propagación son a través de campañas de phishing que contengan archivos adjuntos maliciosos, tratando de engañar a los usuarios para que abran los archivos adjuntos. Estos archivos suelen ser documentos Microsoft Office, archivos como ZIP, RAR, JavaScript, ficheros PDF, ejecutables (.exe), entre otros. Una vez abiertos, descargan otros tipos de malware tipo troyano para propagarse por la red atacada y generar infecciones en cadena.


Los investigadores de Symantec han detectado campañas de ransomware Sodinokibi dirigidas a buscar software de tarjetas de créditos o puntos de venta (PoS). Además han informado que utilizan el malware básico de Cobal Strike para dirigirlo a las víctimas. Otro punto importante que utilizan herramientas legítimas para ingresar a los sistemas como sistema de control remoto, aprovechando la infraestructura de servicios como cloudfront, Amazon, Pastebin para alojar cargas útiles y para crear la infraestructura de C&C, utilizan infraestructura legitima para no ser detectado y el tráfico no sea marcado sospechoso y ser bloqueado.

Microsoft ha observado ataques de fuerza bruta en servidores de escritorio remoto (RDP) y dispositivos de red vulnerables. Luego de la intrusión inicial es seguida por el uso de herramientas básicas para el robo de credenciales y generar los movimientos laterales antes de inyectar la carga útil del ransomware.

Otras investigaciones han detectado que no necesariamente requiere conectarse a C&C para intercambiar las claves de cifrado si no utiliza algoritmo de programación de claves asimétricas, permitiendo que funcione sin ninguna conexión de red. Los datos del sistema y del usuario son transmitidos a varios dominios web legítimos.

El objetivo de una rápida notificación es poder colaborar en contener, mitigar o analizar el incidente según la línea de tiempo en la que se encuentre.


Tengan presente que estas actividades o incidentes pueden tipificarse como delitos informáticos según la ley vigente (Ley 19.223), en virtud de lo cual podemos brindarles apoyo técnico y jurídico para orientar la respuesta en este plano, razón por la cual los invitamos a mantenernos informados
y coordinados.


Agradecemos su atención y colaboración,
CSIRT
Equipo de Respuesta ante Incidentes de Seguridad Informática
Subsecretaría del Interior
Gobierno de Chile

FIN DEL COMUNICADO DE CSIRT.

Estimados: Para continuar entregando  información rápida e independiente necesitamos pequeñas donaciones ($) Tenemos el derecho, deber y libertad a informarnos. Nuestros periodistas y reporteros estaremos muy agradecidos.

Donaciones aquí https://www.flow.cl/app/web/pagarBtnPago.php?token=tvplupi