Ransomware secuestra sistemas de BancoEstado y exige millonario rescate

El malware Sodinokibi habría afectado a todos los sistemas Windows del banco.

Las3Claves

Suscríbete a nuestro newsletter

Quiénes somos

Chileno que trabaja en seguridad en Snap: la contraseña no es suficiente

Todas las sucursales de BancoEstado comenzaron el día cerradas este lunes luego que un ciberataque afectara sus sistemas el fin de semana. De acuerdo a grupos de seguridad, se trata de un ransomware, un tipo de malware que encripta los archivos del equipo infectado y solicita el pago de un "rescate" para liberarlos.

[Actualización 16:00] El presidente de BancoEstado, Sebastián Sichel, confirmó en una conferencia de prensa que el malware "encripta información", pero aseguró que "no hay solicitudes de rescate". Por definición los ransomware encriptan los archivos para solicitar un pago para su liberación, por lo que sería inusual que no haya un requerimiento del pago de un rescate incluido en el ataque.

1. El ataque

Los sistemas de BancoEstado comenzaron a verse afectados durante el fin de semana. Según circula en grupos de ciberseguridad, se trata del ransomware Sodinokibi, que afecta a sistemas Windows. Según estos grupos , toda la plataforma Windows del banco estaría afectada, incluyendo unas 14.000 estaciones de trabajo y cerca de 4.000 servidores.

BancoEstado trabaja para contener la amenaza y solicitó ayuda al RedTeam de Microsoft para enfrentar la situación. Se dice que el rescate solicitado por los atacantes ascendería a alrededor de 9 millones de dólares, según dijo el senador Felipe Harboe a Las3Claves.

En tanto, el Comité Táctico de la Asociación de Bancos e Instituciones Financieras (ABIF) fue notificado y está revisando las medidas que se deben tomar a nivel bancario.

2. El ransomware

Sodinokibi es comercializado "como servicio", es decir, se personaliza para la realización de ataques de acuerdo a las necesidades del cliente. Desde su aparición en 2019 se ha vuelto uno de los ransomware más comunes.

Sodinokibi es muy difícil de detectar, ya que recurre a varias técnicas de ofuscación para ocultarse de sistemas de seguridad como antivirus o de detección de intrusión (IDS), lo que hace que sea más difícil protegerse de él.

El ciberataque al @BancoEstado sería causado por el ransomware Sodinokibi, que el cual infecta computadores, encripta información y exige rescate para acceder a él.
No es que los clientes pierdan dinero de sus cuentas, pero si está afectando los servicios normales del banco pic.twitter.com/GT6WSFJrFL
— Pedro Huichalaf Roa (@huichalaf) September 7, 2020

Esta versión estaría aprovechando una vulnerabilidad de Windows detectada en 2018 para ingresar a la infraestructura del banco. Además dentro de sus funciones apaga el servicio de antivirus, permitiéndole propagarse con mayor facilidad.

3. Consecuencias

El banco ha asegurado que los fondos de los clientes y el patrimonio del banco no han sido afectados. Sin embargo, los servicios prestados por el banco sí están en problemas, al encontrarse todos los sistemas "secuestrados".

"Es evidente que las medidas preventivas no fueron suficientes. Vamos a pedir un informe detallado sobre las empresas contratadas, vigencia de sistemas de actualización de antivirus, etc", criticó el senador (PPD) Felipe Harboe. Desde el Gobierno señalaron que se hizo una denuncia a la unidad de Cibercrimen de la PDI, y que se evaluarán acciones legales.

Zafar de un ransomware es complejo. Lo primero es determinar por dónde entró el malware para subsanar ese punto débil. Luego las opciones son pagar al secuestrador para liberar la información, intentar descifrar los datos por cuenta propia, o bien restaurar los sistemas desde el último respaldo existente, perdiendo la información más nueva.

"Formateando los equipos no se gana nada si no se encuentra por dónde entró el malware", explica Fernando A. Lagos, director de NIVEL4 Cybersecurity a Las3Claves. "Lo más lógico sería formatear el sistema operativo y restaurar el último respaldo, todo eso lo tendrán que evaluar cuando logren recuperar la continuidad operacional".

Respecto a enfrentar este tipo de amenazas, Harboe señala que "lo primero es asumir la condición de riesgo y exigir aumento de estándares de la infraestructura crítica. Luego fiscalizar su cumplimiento. Luego, el gobierno debe enviar el proyecto de ley de institucionalidad en ciberseguridad que comprometió para mayo de 2019 y aún no llega".

Petición de millonario rescate a @BancoEstado para retomar control de sus sistemas revela la precariedad de la ciberseguridad en el banco público chileno. Pedí a Comisión de Economía de @Senado_Chile citación a sus máximos ejecutivos. Esto es muy grave.
— Felipe Harboe B (@felipeharboe) September 7, 2020