Fim-de-semana passado, um dos maiores provedores de internet da Argentina, Telecom Argentina, sofreu com REvil (Sodinokibi) ataque de ransomware. O malware infectou cerca de 18,000 computadores, e agora os operadores do REvil exigem $7.5 milhões da empresa.
A revista ZDNet escreve que os invasores conseguiram obter direitos de administrador de domínio, graças ao qual o ransomware se espalhou rapidamente para 18,000 estações de trabalho.
“Curiosamente, este incidente não gerou problemas de ligação à Internet aos clientes do prestador e não afetou o funcionamento dos serviços de telefonia e TV por cabo. No entanto, devido às consequências do ataque, vários sites oficiais da Telecom Argentina ainda não funcionam”, – de acordo com jornalistas ZDNet.
Vários funcionários da empresa afetada compartilham nas redes sociais como o fornecedor está lidando com a crise. Parece que imediatamente após o ataque ter sido detectado, a empresa passou a alertar os funcionários sobre o que estava acontecendo, pedindo-lhes que limitem a interação com a rede corporativa, não se conectar à rede VPN interna, e não abrir e-mails com arquivos anexados.
Os repórteres acham que a responsabilidade do ataque é do grupo de hackers REvil, com base em uma postagem tuitada que mostrava uma captura de tela do site de ransomware. Com base nesta imagem, os agressores exigiram um resgate 109,345.35 Monero (aproximadamente $7.53 milhão) da empresa. Os hackers prometeram que em caso de falta de pagamento, esse valor dobraria em três dias, tornando esta exigência de resgate uma das maiores deste ano.
Autoridades da Telecom Argentina ainda não comentaram a situação, e não se sabe se a empresa pretende pagar aos cibercriminosos.
Interessantemente, de acordo com relatos da mídia local, o ISP considera um anexo malicioso de uma carta recebida por um de seus funcionários como o ponto de partida deste ataque.
“Isso não é totalmente consistente com os ataques regulares do REvil, já que o grupo costuma penetrar em empresas’ redes através de equipamentos de rede desprotegidos. Em particular, os invasores estão explorando ativamente vulnerabilidades no Pulse Secure e Citrix VPN”, – relatado em ZDNet.
No entanto, os especialistas da empresa de segurança da informação Bad Packets disseram aos jornalistas da ZDNet que a Telecom Argentina não trabalhou apenas com servidores Citrix VPN, mas entre eles havia sistemas vulneráveis à CVE-2019-19781 problema (embora o patch foi liberado há muitos meses).
deixe-me lembrá-lo disso, especialistas em segurança da informação do provedor dinamarquês KPN aplicaram sinkholing ao REvil (Sodinokibi) servidores criptográficos e estudou os métodos de trabalho de uma das maiores ameaças de ransomware da atualidade. Um muito análise interessante – eu recomendo.