12 oct 2021

Banco Pichincha (EC) víctima de ciberataque

El Ministerio de Finanzas de Ecuador y Banco Pichincha, una de las entidades más grandes del país, fueron atacadas hoy por un grupo que los infectó con un ransomware.

Un grupo de delincuentes autodenominado "Hotarus Corp" se adjudicó el hackeo al Ministerio de Finanzas de Ecuador y al banco más grande del país, Banco Pichincha, a la vez que afirman haber robado datos internos.

Esta no es la primera vez que el banco es atacado por este grupo, porque ya en febrero de 2021 habían llevado a cabo una acción similar. En este momento la banda apuntó al Ministerio de Finanzas de Ecuador, el Ministerio de Economía y Finanzas de Ecuador, donde desplegaron un ransomware basado en PHP para cifrar un sitio que aloja un curso en línea dentro de la institución. En este momento habían utiliza el software Ronggolawe (también conocido como AwesomeWare). Poco después del ataque, los atacantes publicaron un archivo de texto que contenía 6.632 nombres de inicio de sesión y combinaciones de contraseñas hash en un foro.

En esta oportunidad, el banco confirmó el ataque en un comunicado oficial, pero afirma que fue un socio de marketing hackeado y no sus sistemas internos. Banco Pichincha continúa diciendo que "los atacantes utilizaron la plataforma comprometida para enviar correos electrónicos de phishing a los clientes para intentar robar información confidencial para realizar transacciones ilegítimas".

Hasta ahora, el Banco Pichincha no ha revelado públicamente la naturaleza del ataque. Sin embargo, fuentes de la industria de la ciberseguridad le han dicho a BleepingComputer que se trata de un ataque de ransomware con actores de amenazas que instalan Cobalt Strike en la red. Las bandas de ransomware y otros actores de amenazas suelen utilizar Cobalt Strike para obtener persistencia y acceso a otros sistemas en una red.

En una entrevista con BleepingComputer, el grupo de delincuentes informáticos cuestiona el estado de cuenta del banco y afirma que utilizó el ataque de la empresa de marketing como un trampolín hacia los sistemas internos del banco. Luego robaron los datos y utilizaron el ransomware para cifrar los dispositivos.

"Inicialmente entramos a una empresa que desarrolla aplicaciones web y marketing para el banco, luego de analizar códigos y datos nos dio la posibilidad de acceder a los sistemas internos del banco, fue allí donde usamos un ransomware, extrayendo toda la información posible. Una vez dentro, encontramos vulnerabilidades en las vulnerabilidades de sus aplicaciones en los puertos FTP y RDP que nos ayudaron a aumentar los privilegios. Actualmente solo está a la venta información bancaria, ya hemos vendido alrededor de 37.000 tarjetas de crédito a un grupo dedicado a esto, la información inicialmente será subastada o vendida por 250.000", dijo un operador de "Hotarus Corp" a BleepingComputer.", dijeron los actores de amenazas a BleepingComputer.

A través de este ataque, el grupo afirma haber robado "31.636.026 millones de registros de clientes y 58.456 registros confidenciales del sistema", incluidos números de tarjetas de crédito. Como prueba de su ataque, el grupo compartió varias imágenes de los datos presuntamente robados, incluida una carpeta de archivos.

Fuente: BC

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!