BancoEstado de Chile paralizado por ransomware #Sodinokibi / #REvil ~ Segu-Info

Fue el domingo por la tarde cuando BancoEstado informó que durante el fin de semana "detectó en sus sistemas operativos un software malicioso", pero lo cierto es que la alerta se encendió el sábado.

En ese momento, el banco informó a la Comisión para el Mercado Financiero (CMF) lo ocurrido, según lo establece el protocolo, y a su vez, la CMF alertó a la banca.De manera coordinada, la banca, el regulador, y la Sociedades de Apoyo al Giro (SAG), han estado trabajando de manera conjunta desde el fin de semana, con el fin de que este software malicioso no ataque a otra entidad. Es más, la CMF desde este fin de semana está instalada en las dependencias del banco estatal para monitorear de cerca todo el proceso, en una supervisión in situ.

Al interior de BancoEstado, tanto en la casa matriz como para los trabajadores que están funcionando desde sus casas, la instrucción es a no ingresar al sistema del banco, y mantener apagados los computadores.

La estatal incluso hoy comunicó que sus sucursales estarán cerradas hasta nuevo aviso a lo largo de todo el país, pero esperan poder empezar a operar en algunas de ellas apenas se vaya solucionando el problema.

Se trata de un ransomware pero el presidente de la estatal, Sebastián Sichel, dijo que no ha existido una solicitud de dinero para liberar los equipos. Lo que está claro, es que ni los clientes ni el banco han visto afectados su patrimonio por este motivo. Pero como el ataque es reciente, no hay mayor información sobre cómo ocurrió, cuestión que deberá ser vista posteriormente en un análisis forense.

Actualmente, la prioridad del banco es volver a recuperar los sistemas, y haya o no una eventual solicitud de rescate en dinero en el futuro, lo cierto es que el banco tendría todo respaldado, por lo que no sería necesario pagar nada en caso de que así sea solicitado por los ciberatacantes.

A raíz de lo anterior, en estos momentos, desde el banco estarían trabajando para eliminar el malware y reinstalar los equipos para que puedan volver a funcionar. Es por este motivo que las sucursales estarían cerradas, ya que aún falta hacer la reinstalación.

De acuerdo a los analistas Germán Fernandez (aka @1ZRR4H), y Felipe Duarte (@dark0pcodes) se trataría de al menos 14.000 equipos infectados por el ransomware Sodinokibi / REvil, activo al menos desde 2018 y el mismo que infectó a Telecom AR. La infección habría sido a través de servicios RDP expuestos y ya han publicado los IOCs correspondientes y los C&C correspondientes.

En este caso la información es cifrada con el algoritmo RC4 y es un buen consejo revisar conexiones a las dominios utilizados por el C&C y que se encuentran en el archivo de configuración de Sodinokibi.

Actualización 08/09: para detalles técnicos, se puede ver un video de desempaquetando y extracción de la configuración de Sodinokibi.

El 6 de septiembre pasado se había detectado que se estaba vendiendo acceso a una WebShell de un Banco de Chile (no mencionado).

Actualización 09/09: Felipe Duarte (@dark0pcodes) ha compartido un script que automatiza la extracción de la configuración de Sodinokibi desde un archivo ya desempaquetado (ver video).

Fuente: Germán Fernandez (aka @1ZRR4H) | Felipe Duarte (aka @dark0pcodes)