- Las3Claves
Ransomware afectó a Cencosud y atacantes amenazan con filtrar datos
El ataque es atribuido al ransomware Egregor, el que provocó cierre de cajas en locales y "mandó" mensajes a través de las impresoras de algunas tiendas del grupo.
[Actualización] Pese a que Cencosud calificó el ataque como "fake news", este 24 de noviembre se publicaron 38,8 GB de datos supuestamente robados a la compañía de retail chilena. Queda por analizar qué información personal había en el archivo Cencosud.zip.
------
Un ransomware conocido como Egregor atacó los sistemas de Cencosud, secuestrando los equipos de la compañía e interrumpiendo el funcionamiento de algunos locales, según reporta el medio especializado BleepingComputer. Al parecer, las notas pidiendo rescate se imprimieron solas en varios supermercados alrededor de las 20 horas de ayer viernes.
Aparente hackeo a Cencosud (por lo menos es la información en Argentina y Chile) mediante un nuevo ransomware.
— Fede Luca (@SoyFedeLuca) November 14, 2020
Increíble!
Esto salió impreso automáticamente en un local Easy de Argentina. Les hicieron cortar la electricidad general. pic.twitter.com/eLzylHvM7O
1. El ataque
Los incidentes provocados por el ataque parecen afectar mayormente a Argentina, aunque el ataque sería regional. Los ciberdelincuentes aseguran en su mensaje haber descargado información sensible y amenazan con filtrarla si no se paga un millonario rescate.
Se informa que Cencosud (Jumbo, París, Easy) están siendo afectados por ataque informático
— Pedro Huichalaf Roa (@huichalaf) November 14, 2020
Sería ransomware #Egregor
Es malware que encripta información y cobra por rescate
Se informa de caída en sistemas y algunas tiendas Paris cerradas https://t.co/6Sc7OHbT8P#ciberseguridad
2. Posible origen
Según el experto en ciberseguridad Germán Fernández, los atacantes podrían haber accedido a los sistemas a través del protocolo de escritorio remoto (Remote Desktop Protocol, RDP) de Windows, que permite comunicarse de forma remota con un sistema interno. Este protocolo se ha comenzado a usar más debido a la pandemia, que ha forzado a tener trabajadores conectados desde distintos lugares.
Los puertos RDP muchas veces quedan expuestos a Internet, lo que los hace un punto de interés para los atacantes, que pueden acceder a toda la red a través de ellos.
Nueva víctima de #Egregor
— Germán Fernández 🇨🇱 (@1ZRR4H) November 14, 2020
CENCOSUD 🇨🇱🇦🇷
Posible vector de acceso:
- RDP Expuesto a Internet
- También se habla de un INSIDER (?) 😬
OJO, en Chile otra empresa del RETAIL se encuentra infectada com #Emotet.
[#Ransomware] ALERTADOS el 15 oct. 2020 👇 https://t.co/1oTsi2utET pic.twitter.com/sJZVK0CA4U
3. El ransomware
Egregor es un ransomware que ha ganado popularidad en el último tiempo tras el "retiro" de los desarrolladores de Maze, conocido no solo por encriptar usando ransomware, sino también robar datos y extorsionar con su liberación para obtener el pago del rescate.
Maze atacó a grandes empresas como Canon, LG y Xerox utilizando este método. El 1 de noviembre, los desarrolladores detrás de Maze anunciaron su retiro, sin dejar a un sucesor oficial. Así, los clientes de Maze se volcaron a buscar alternativas parecidas, entre las que está Egregor. Este ransomware ha estado activo desde mediados de septiembre y ha sido asociado al modelo de "ransomware como servicio", donde los clientes pueden contratar acceso al malware sin necesidad de ser expertos.
El #ransomware que le pegó a Cencosud es #Egregor. La ransom note empezó a salir en las impresoras de varios locales de Argentina y Chile pic.twitter.com/k1Ps4IDUyq
— Irlenys (@Irlenys) November 15, 2020
La supuesta filtración:
Finalmente difundieron la informacion comprometida de Cencosud (38.8 GB) #ransomware pic.twitter.com/viN7QzeR0S
— Daniel Monastersky (@identidadrobada) November 24, 2020