Click acá para ir directamente al contenido
  • Las3Claves

Ransomware afecta Cencosud y atacantes amenazan con filtrar datos

El ataque es atribuido al ransomware Egregor, el que provocó cierre de cajas en locales y "mandó" mensajes a través de las impresoras de algunas tiendas del grupo.

Un ransomware conocido como Egregor atacó los sistemas de Cencosud, secuestrando los equipos de la compañía e interrumpiendo el funcionamiento de algunos locales, según reporta el medio especializado BleepingComputer. Al parecer, las notas pidiendo rescate se imprimieron solas en varios supermercados alrededor de las 20 horas de ayer viernes.

1. El ataque

Los incidentes provocados por el ataque parecen afectar mayormente a Argentina, aunque el ataque sería regional. Los ciberdelincuentes aseguran en su mensaje haber descargado información sensible y amenazan con filtrarla si no se paga un millonario rescate.

2. Posible origen

Según el experto en ciberseguridad Germán Fernández, los atacantes podrían haber accedido a los sistemas a través del protocolo de escritorio remoto (Remote Desktop Protocol, RDP) de Windows, que permite comunicarse de forma remota con un sistema interno. Este protocolo se ha comenzado a usar más debido a la pandemia, que ha forzado a tener trabajadores conectados desde distintos lugares.

Los puertos RDP muchas veces quedan expuestos a Internet, lo que los hace un punto de interés para los atacantes, que pueden acceder a toda la red a través de ellos.

3. El ransomware

Egregor es un ransomware que ha ganado popularidad en el último tiempo tras el "retiro" de los desarrolladores de Maze, conocido no solo por encriptar usando ransomware, sino también robar datos y extorsionar con su liberación para obtener el pago del rescate.

Maze atacó a grandes empresas como Canon, LG y Xerox utilizando este método. El 1 de noviembre, los desarrolladores detrás de Maze anunciaron su retiro, sin dejar a un sucesor oficial. Así, los clientes de Maze se volcaron a buscar alternativas parecidas, entre las que está Egregor. Este ransomware ha estado activo desde mediados de septiembre y ha sido asociado al modelo de "ransomware como servicio", donde los clientes pueden contratar acceso al malware sin necesidad de ser expertos.