La empresa de servicios tecnológicos GTD sufrió, el 23 de octubre, un ataque ransomware que afectó a la plataforma de Infraestructura como Servicio (IaaS, por sus siglas en inglés), por lo que se comprometieron los servicios de data center, telefonía, VPN y conexión a internet de más de 3000 clientes en Chile y en menor medida Perú.
Tras el ataque con el ransomware Rorschach (también conocido como BabLock), la empresa decidió bajar sus IaaS para revisarlas de forma exhaustiva y evitar que se propague el software malicioso. Lentamente, fueron restableciéndose, y hasta el momento de publicarse este artículo, más de 300 clientes continuaban afectados.
Este tipo de ataques, con vías de acceso a los sistemas muy variadas, logran secuestrar información, encriptándola, para luego pedir un rescate, usualmente en criptomonedas a cambio de la clave para desencriptar y recuperar la información y datos secuestrados.
Según detalló el titular del Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), Cristian Bravo, —ante el Comité de Seguridad Ciudadana del Congreso—, entre los servicios más importantes que estuvieron afectados, se puede contar al sistema de atención a beneficiarios del Fondo Nacional de Salud (FONASA), Salud Responde; las firmas digitales del Ministerio Secretaría General de la Presidencia; el sistema RPE de la Alta Dirección Pública, que afectó a más de más 77 municipios; y gobiernos regionales, entre otros.
La empresa colaboró plenamente en encontrar la solución, valoró Bravo, proveyendo la mayor cantidad de datos, de acuerdo a una nueva normativa de Chile (desde diciembre 2022), que insta a reportar incidentes de seguridad informática en el Estado, y que surgió como respuesta al ciberataque sufrido en organismos estatales que vieron filtrados sus datos el año pasado.
Ransomware Rorschach, el más rápido del condado
Según reporta el medio Bleeping Computer, el ransomware usado en este ataque fue Rorschach, conocido también como BabLock, y, en este nuevo ataque, los investigadores no pudieron atribuirlo a un grupo cibercriminal en particular, pero alertaron que se trata de un encriptador sofisticado y muy veloz, que puede encriptar un dispositivo en 4:30 minutos.
Los criminales, según el reporte de inteligencia de amenazas del CSIRT, explotan una vulnerabilidad de archivos ejecutables para inyectar, mediante una DLL maliciosa, el payload del ransomware config[.]ini en un proceso de Notepad.
Infraestructura como Servicio (IaaS)
Infraestructura como servicio (IaaS, por sus siglas en inglés) es un servicio de virtualización que ofrecen compañías como GTD, y se trata de un software que divide en pequeñas computadoras virtuales un computador físico más grande. El cliente puede utilizar el sistema, administrarlo, pero es la empresa proveedora quien se ocupa del mantenimiento del servidor.
En GTD este software que permite tomar un computador y dividirlo en computadoras virtuales más pequeñas es el que fue atacado, aprovechando una vulnerabilidad, y es lo que permitió que los atacantes tomaran las máquinas y secuestraran la información.
Es lo que se conoce como ataque a la cadena de suministro, en la cual un fallo de seguridad de un gran proveedor, es explotado por los ciberatacantes comprometiendo la integridad de los sistemas de gran cantidad de organizaciones a las que da servicio.