BancoEstado De Chile Paralizado Por Ransomware Sodinokibi / REvil
Fue el domingo por la tarde cuando BancoEstado informó que durante el fin de semana "detectó en sus sistemas operativos un software malicioso", pero lo cierto es que la alerta se encendió el sábado.
<>En ese momento, el banco informó a la Comisión para el Mercado Financiero (CMF) lo ocurrido, según lo establece el protocolo, y a su vez, la CMF alertó a la banca.De manera coordinada, la banca, el regulador, y la Sociedades de Apoyo al Giro (SAG), han estado trabajando de manera conjunta desde el fin de semana, con el fin de que este software malicioso no ataque a otra entidad. Es más, la CMF desde este fin de semana está instalada en las dependencias del banco estatal para monitorear de cerca todo el proceso, en una supervisión in situ.Al interior de BancoEstado, tanto en la casa matriz como para los trabajadores que están funcionando desde sus casas, la instrucción es a no ingresar al sistema del banco, y mantener apagados los computadores.
La estatal incluso hoy comunicó que sus sucursales estarán cerradas hasta nuevo aviso a lo largo de todo el país, pero esperan poder empezar a operar en algunas de ellas apenas se vaya solucionando el problema.
Se trata de un ransomware pero el presidente de la estatal, Sebastián Sichel, dijo que no ha existido una solicitud de dinero para liberar los equipos. Lo que está claro, es que ni los clientes ni el banco han visto afectados su patrimonio por este motivo. Pero como el ataque es reciente, no hay mayor información sobre cómo ocurrió, cuestión que deberá ser vista posteriormente en un análisis forense.
Actualmente, la prioridad del banco es volver a recuperar los sistemas, y haya o no una eventual solicitud de rescate en dinero en el futuro, lo cierto es que el banco tendría todo respaldado, por lo que no sería necesario pagar nada en caso de que así sea solicitado por los ciberatacantes.
A raíz de lo anterior, en estos momentos, desde el banco estarían trabajando para eliminar el malware y reinstalar los equipos para que puedan volver a funcionar. Es por este motivo que las sucursales estarían cerradas, ya que aún falta hacer la reinstalación.
De acuerdo a los analistas Germán Fernandez (aka @1ZRR4H), y Felipe Duarte (@dark0pcodes) se trataría de al menos 14.000 equipos infectados por el ransomware Sodinokibi / REvil (el mismo que infectó a Telecom AR) y la infección habría sido a través de servicios RDP expuestos y ya han publicado los IOCs correspondientes y los C&C correspondientes.
Fuente: Germán Fernandez (aka @1ZRR4H)
Via: feedproxy.google.com