Secciones

Más en The Clinic

The Clinic Newsletters
cerrar
Cerrar publicidad
Cerrar publicidad

Actualidad

7 de Septiembre de 2020

Advierten posible vector involucrado en ataque a BancoEstado: malware sería propagado por campañas de phishing

BancoEstado Agencia Uno

Desde la CSIRTGOB señalaron que "no se descarta que este vector pueda estar involucrado en el ataque dirigido a las entidades privadas de la economía local en las últimas horas".

Por

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRTGOB) alertó sobre un posible vector que podría estar involucrado en el ataque sufrido por BancoEstado durante las últimas hora que afectó su sistema y obligó el cierre de todas sus sucursales.

En un comunicado explicaron que tras examinar múltiples fuentes, se determinó que “el atacante analizado fue el Ransomware Sodinokibi, el cual es un programa distribuido con un modelo de negocio Ransomware-as-a-Service, detectado por primera vez en una campaña en el 2019”.

Sobre este, desde la CSIRTGOB señalaron que “no se descarta que este vector pueda estar involucrado en el ataque dirigido a las entidades privadas de la economía local en las últimas horas”.

Asimismo, explicaron que “al comienzo del proceso de ejecución, Sodinokibi intenta obtener privilegios explotando algunas vulnerabilidades, después de esta etapa el malware recopila datos básicos del sistema y del usuario, para luego generar el cifrado de datos”.

Respecto a al forma en que se propagaría este malware, señalaron que se usarían campañas de phishing (hacerse pasar por una empresa o personas para robar datos), adjuntando en los correos archivos maliciosos, por lo que llaman a no abrir documentos de fuentes desconocidas.

De esta manera, buscan engañar a los usuarios para que abran los archivos, momento en el que se “descargan otros tipos de malware tipo troyano para propagarse por la red atacada y generar infecciones en cadena”. La CSIRTGOB advirtió además que “estos archivos suelen ser documentos Microsoft Office, archivos como ZIP, RAR, JavaScript, ficheros PDF, ejecutables (.exe), entre otros”.

“Los investigadores de Symantec han detectado campañas de ransomware Sodinokibi dirigidas a buscar software de tarjetas de créditos o puntos de venta (PoS). Además han informado que utilizan el malware básico de Cobal Strike para dirigirlo a las víctimas”, agregan en el comunicado.

Recalcan además que en estas campañas “utilizan herramientas legítimas para ingresar a los sistemas como sistema de control remoto, aprovechando la infraestructura de servicios como cloudfront, Amazon, Pastebin para alojar cargas útiles y para crear la infraestructura de C&C, utilizan infraestructura legitima para no ser detectado y el tráfico no sea marcado sospechoso y ser bloqueado”.

Notas relacionadas

Deja tu comentario