Telecom Argentina: anatomía de un ataque humillante

Telecom Argentina fue afectada por un ransomware, aproximadamente 18,000 computadoras pertenecientes a la compañía se infectaron durante el fin de semana.

Telecom Argentina , uno de los mayores proveedores de servicios de Internet en Argentina, fue golpeado por un ataque de ransomware. 

Los operadores de ransomware infectaron aproximadamente 18,000 computadoras durante el fin de semana y ahora están pidiendo un rescate de $ 7.5 millones.

El incidente tuvo lugar el sábado 18 de julio y tuvo un grave impacto en las operaciones de la compañía. 

Los atacantes inicialmente obtuvieron acceso a la red de la compañía, luego tomaron el control de un administrador de dominio interno y utilizaron el acceso para infectar miles de máquinas.

La brecha de seguridad

El incidente no causó problemas de conectividad a los clientes del ISP, la telefonía fija o los servicios de televisión por cable no se vieron afectados.

Muchos sitios web operados por Telecom Argentina fueron desconectados por culpa del ataque. 

El colega Germán Fernández especuló la participación del ransomware REvil en el ataque contra Telecom Argentina.

Inmediatamente después de que el personal interno de TI detectó el ataque, la compañía comunicó en forma directa a sus empleados y les indicó que no se podían conectar su red VPN interna y que debían evitar abrir correos electrónicos con archivos adjuntos sospechosos.

La pandilla de ransomware REvil (Sodinokibi) publicó una página dedicada a Telecom Argentina en su portal de pagos de su web.

La landing page en el portal de Telecom Argentina mostraba una demanda de rescate de 109345.35 monedas Monero (aproximadamente $ 7.53 millones de dólares). 

Los operadores de ransomware están amenazando al ISP a duplicar el rescate si no paga el rescate después de tres días.

En el pasado, los cibercriminales a cargo de activar REVil hicieron foco en  Pulse Secure  y  Citrix  VPN y los sistemas de puerta de enlace empresarial como puntos de entrada.

Telecom Argentina no fue el primer ISP atacado por los operadores del ransomware REvil.

 

Por Jorge Julian – Perito Forense en Ciberseguridad