Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Colombia: activan protocolos de emergencias por ransomware al proveedor de telecomunicaciones IFX Networks


El miércoles 13 de septiembre entidades públicas y empresas colombianas, chilenas y argentinas, amanecieron con una terrible noticia, habían sido víctimas de un ciberataque, debido a que la multinacional IFX Networks que contrataron fue hackeada y de esta forma sus clientes se vieron afectados.



Ciberataque afecta a servicios estatales en Colombia y Chile

  • Más de 700 compañías latinoamericanas seguían afectadas por el ciberataque lanzado el 12 de septiembre por desconocidos, aseguró el gobierno colombiano.
  • Según el gobierno de Colombia, "762 compañías" latinoamericanas se han visto afectadas por el ciberataque lanzado el 12 de septiembre por desconocidos.
Mauricio Lizcano, ministro del Ministerio de Tecnologías de la Información y Comunicaciones de Colombia, informó a través de su cuenta oficial en Twitter que el gobierno activó el Puesto de Mando Unificado Ciber (PMU Ciber) para tratar de paliar los efectos del ciberataque sufrido por el proveedor de telecomunicaciones IFX Networks.

El jueves es el segundo día de operaciones del Mando Unificado Ciber del Gobierno de Colombia para atender las consecuencias del ataque cibernético que sufrió IFX, según un comunicado del Ministerio de Tecnologías de la Información

La compañía IFX Networks (Netglobalis en Chile) es proveedora de soluciones de telecomunicaciones, con presencia en 17 países y principal proveedora de telecomunicaciones en Colombia. CNN solicitó a la empresa un comentario para saber cuáles han sido los avances que han tenido desde el ataque, pero no recibieron respuesta.



Un ataque a infraestructuras críticas de Estado puede afectar la vida diaria de millones de personas que necesitan acceso urgente a servicios de salud y de justicia. Algunos de los portales afectados son la Superintendencia de Salud y el Consejo Superior de la Judicatura, que decidió suspender operaciones y trámites judiciales en todo el país desde este jueves hasta el miércoles de la semana próxima.

No solo grandes entidades del Estado están siendo afectadas por esta situación. Pequeñas empresas que funcionan gracias a software que funciona en la nube tienen sus operaciones paradas por cuenta del incidente con IFX Network.

El ministro del Ministerio de Tecnologías de la Información y Comunicaciones de Colombia, Mauricio Lizcano anunció el miércoles en X -antes Twitter- que son más de 800 las organizaciones afectadas por este ataque, no solo en Colombia, sino también en Chile y Argentina, sin detallar el número de portales de gobierno y privados colombianos afectados.



El ataque corresponde a un ransomware en donde no solo atacaron IFX Networks en Colombia, con el cual secuestraron los datos que tenía IFX Networks en sus servidores, en nubes y esto ha afectado empresas y entidades importantes de varios países. El acceso a la justicia está comprometido pero quizás el tema más grave tiene que ver con acceso a servicios de salud a través de la Superintendencia de Salud.

¿Qué pasó?

Como IFX es un proveedor internacional de servicios gestionados, otros clientes podrían ser víctima de nuevos ataques en consecuencia de este incidente, lo que se conoce también como, Ataque a la Cadena de Suministro (Supply Chain Attack).

Si bien aún no es posible confirmar los autores de este ataque ya que falta evidencia concluyente, se ataque parecería estar relacionado al Ransomware del grupo autodenominado "RansomHouse", aunque diversos medios lo han bautizado "MARIO" por la siguiente imagen.    

La imagen circula en diferentes chats privados esta captura que demostraría que los autores del ataque son el grupo mencionado y conocidos también por ser los autores del ataque a Sanitas.

Ante la falta de información oficial, desde diversos medios han procedido a crear una lista de sitios afectados y su estado de situación.



Se cree que RansomHouse se lanzó en diciembre de 2021 con su primera víctima, supuestamente la Autoridad de Juegos y Licores de Saskatchewan (SLGA), que ahora figura en el sitio de extorsión. Los ataques han continuado desde entonces, y en ciertos casos los afectados han sido empresas como AMD, de la que se robaron 450 GB de datos. Recientemente se hizo conocido luego de un ataque a gran escala a un hospital Clinic de Barcelona, que se vió obligado a desprogramar 150 operaciones por el ciberataque.

En aquella ocasión BleepingComputer logró contactar con los miembros de RansomHouse, que explicaron que ni siquiera habían intentado contactar con AMD porque "lo consideramos una pérdida de tiempo: será más valioso vender los datos que esperar a que los responsables de AMD reaccionen con toda la burocracia que eso implica".

En un informe publicado por Cyberint, los analistas encontraron publicaciones de Telegram promocionando RansomHouse en el canal de Telegram de Lapsus$. Esto indica que los actores de amenazas están igualmente interesados en vender datos a otros actores de amenazas, así como a la víctima.

Mientras, en su sitio web en la Dark Web RansomHouse se autodefine como "una comunidad de mediadores profesionales", la actividad de este grupo, es algo distinta a la de otros de este estilo: según esa actividad RansomHouse no es una actividad independiente, sino que emerge dentro de otros grupos de ciberatacantes. El informe de mayo de 2022 revelaba que este grupo podría estar formado por expertos en ciberseguridad cansados de intentar obtener recompensas por detectar fallos de seguridad en empresas y entidades.

Los responsables de RansomHouse añaden que las empresas afectadas que se niegan a pagar por este tipo de trabajo "tendrán que hacer frente a costes legales y de reputación". Afirman que en esos casos no solo divulgarán la información en su sitio web o canal oficial de Telegram, "sino que también llamaremos la atención de periodistas, público y terceros sobre el problema y haremos todo lo necesario para que el incidente sea lo más público posible".

Si bien no se ha confirmado, el vector inicial de la infección habrían sido correo con archivos adjuntos en formato comprimido (ZIP, RAR, ACE, GZ, etc) y habrían provenido desde diferentes locaciones de proveedores internacionales.

Los CSIRT de los países afectados han publicado información y la siguiente infografía sobre el ataque y el vector de compromiso ¿01 de septiembre?


El grupo aún no ha publicado en su sitio web "oficialmente" el nombre de la víctima IFX pero es porque suelen disponibilizar los datos robados a través de Torrent y nuevos dominios en la Darknet. Es decir que es de esperar que lo hagan en los próximos días y el impacto actual podría ser mucho mayor del esperado.

Estos son los hashes SHA-256 de los archivos adjuntos en los correos electrónicos que se han visto in-the-wild y que se pueden usar como IoC, si bien seguramente estén cambiando continuamente.

Comunicado oficial de EPASA tras el ciberataque a la empresa IFX Network, que brinda servicio tecnológico y de soporte a esta casa editorial. Pedimos disculpas y agradecemos la comprensión de nuestros lectores y les ofrecemos las redes sociales de los tres portales para seguir informados.



(Info en revisión)


Fuente:

https://blog.segu-info.com.ar/2023/09/activan-protocolo-de-emergencias-por.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.