- Las3Claves
- 7 de septiembre 2020
Ransomware a BancoEstado: ente del Gobierno explica cómo funciona Sodinokibi
Este fin de semana, un malware afectó al banco y a millones de sus usuarios.
Este lunes se conocieron detalles del ciberataque con ransomware a BancoEstado, que mantuvo al banco con todas sus sucursales cerradas durante gran parte del día. El hecho motivó a la Alianza Chilena de Ciberseguridad a hacer un llamado a acelerar tramitación de proyectos de ley de seguridad digital. El senador Felipe Harboe ya había comentado a Las3Claves la necesidad de actualizar la legislación.
Tres detalles de hoy:
1- Entidad del Gobierno detalla el funcionamiento de Sodinokibi
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, fue la primera fuente oficial que identificó el malware que es sindicado como el que afecta al banco del patito. La entidad técnica no nombra directamente a BancoEstado, pero afirmó que "no se descarta que este vector pueda estar involucrado en el ataque dirigido a las entidades privadas de la economía local en las últimas horas".
"El ransomware Sodinokibi es un programa distribuido con un modelo de negocio Ransomware-as-a-Service, detectado por primera vez en una campaña en el 2019. Al comienzo del proceso de ejecución, Sodinokibi intenta obtener privilegios explotando algunas vulnerabilidades, después de esta etapa el malware recopila datos básicos del sistema y del usuario, para luego generar el cifrado de datos", detalló el CSIRT.
El modelo Ransomware-as-a-Service significa que el que un grupo principal lo mantiene y lo arrienda a otros grupos, que los ejecutan contra las víctimas.
#CSIRT comparte la siguiente información a partir del análisis de múltiples fuentes sobre uno de los vectores de ataque que están circulando en el ecosistema nacional. pic.twitter.com/QlPSXw7D1r
— CSIRT GOB CL (@CSIRTGOB) September 7, 2020
2. La Comisión para el Mercado Financiero analizará de cerca este caso
Este lunes, la CMF aseguró que hay estrecha coordinación para solucionar la situación que afecta a BancoEstado y que amenaza a otros bancos e instituciones del país.
“La Comisión para el Mercado Financiero ha estado supervisando muy de cerca el ciberataque sufrido por el BancoEstado este fin de semana. En efecto, un equipo especial de supervisión de nuestra institución se constituyó ayer en el banco para tener información in situ de lo que estaba sucediendo", dijo Joaquín Cortez, presidente de la CMF.
🔵La Comisión para el Mercado Financiero monitorea de cerca el software malicioso que afecta al Banco Estado. Hubo además un instructivo a los bancos privados.
— Felipe Gallegos (@FelipeGallegos7) September 7, 2020
Lo explica el Presidente de la CMF, Joaquin Cortés. 👇🏼 @Cooperativa pic.twitter.com/oFqJFYixwl
3. ¿Qué hacer para prevenir ser víctima del ransomware?
El mismo CSIRT sugiere a las empresas y entidades implementar las siguientes recomendaciones a la brevedad posible:
- Aumentar el monitoreo de tráfico no usual.
- Mantener los equipos actualizados, tanto sistemas operativos como otros software instalados.
- No abrir documentos de fuentes desconocidas.
- Tener precaución en abrir documentos y seleccionar enlaces de correos electrónicos.
- Verificar y controlar los servicios de escritorio remoto (RDP).
- Bloqueo de script o servicios remotos no permitidos en la instrucción .
- Monitorear servicios SMB de forma horizontal en la red.
- Mantener actualizadas las protecciones perimetrales de las instituciones.
- Aumentar los niveles de protección en los equipos que cumplan las funciones AntiSpam, WebFilter y Antivirus.
- Verificar el funcionamiento, y si no es necesario, bloquear las herramientas como PsExec y Powershell.
- Mantener especial atención sobre el tráfico sospechoso que tengan conexiones a los puertos 135TCP/UDP y 445TCP/UDP.
- Verificar periódicamente los indicadores de compromisos entregados por el CSIRT en los informes 2CMV20.
- Segmentar las redes en base a las necesidades de sus activos, permitiendo solamente los puertos necesarios.