Μια ransomware συμμορία έχει μολύνει το εσωτερικό δίκτυο της Telecom Argentina, ενός από τους μεγαλύτερους παρόχους υπηρεσιών Διαδικτύου (ISP) της χώρας, και ζητά 7,3 εκατομμύρια δολάρια για να ξεκλειδώσει τα κρυπτογραφημένα αρχεία.
Η επίθεση έλαβε χώρα το Σάββατο 18 Ιουλίου και θεωρείται ένα από τα μεγαλύτερα hacks στην Αργεντινή.
Πηγές μέσα από τον ISP δήλωσαν ότι η ransomware συμμορία προκάλεσε εκτεταμένες ζημιές στο δίκτυο της εταιρείας αφού κατάφερε να αποκτήσει τον έλεγχο ενός εσωτερικού domain admin. Από εκεί εγκατέστησε και εξάπλωσε το ransomware payload σε περισσότερα από 18.000 workstations.
Η επίθεση δεν προκάλεσε προβλήματα σύνδεσης στο Διαδίκτυο στους πελάτες του ISP, ούτε επηρέασε τις υπηρεσίες σταθερής τηλεφωνίας ή της τηλεόρασης. Ωστόσο, πολλά από τα επίσημα sites της Telecom Argentina είναι εκτός λειτουργίας από το Σάββατο.
Υπάλληλος Καταγγέλλει την Apple για Παρακολούθηση
Το Europa Clipper της NASA οδεύει στον Δία
Τεράστιος δυνητικά επικίνδυνος αστεροειδής πλησιάζει τη Γη
Πολλοί υπάλληλοι του ISP χρησιμοποιούν τα μέσα κοινωνικής δικτύωσης για να μοιραστούν λεπτομέρειες σχετικά με το περιστατικό και με το πώς η Telecom Argentina διαχειρίζεται την κρίση.
Σύμφωνα με τις εικόνες που έχουν δημοσιευτεί στο διαδίκτυο, ο ISP εντόπισε αμέσως την εισβολή και άρχισε να προειδοποιεί τους υπαλλήλους στέλνοντας εσωτερικές ειδοποιήσεις για να περιορίσει την αλληλεπίδρασή τους με το εταιρικό δίκτυο. Επίσης, τους συμβούλευσε να μην συνδεθούν στο εσωτερικό δίκτυο VPN και να μην ανοίξουν emails που περιέχουν αρχεία.
Λέγεται ότι οι επιτιθέμενοι είναι η ransomware ομάδα REvil (Sodinokibi). Είχε εμφανιστεί στο Twitter ένα tweet (που τώρα έχει διαγραφεί) και το οποίο έδειχνε το dark web portal των hackers, τη σελίδα στην οποία οδηγούνται τα θύματα για να πληρώσουν τα λύτρα.
Αυτή η σελίδα εμφάνιζε ένα αίτημα για πληρωμή 109345,35 νομισμάτων Monero (~ 7,53 εκατομμύρια δολάρια), ένα ποσό που θα διπλασιαστεί σήμερα, καθιστώντας το ένα από τα μεγαλύτερα ποσά που έχουν ζητηθεί σε ransomware επίθεση φέτος.
Η Telecom Argentina δεν έχει σχολιάσει το περιστατικό.
Τα τοπικά μέσα ενημέρωσης ανέφεραν, επίσης, ότι ο ISP πιστεύει ότι το σημείο εισόδου των hackers είναι ένα κακόβουλο email που έλαβε ένας από τους υπαλλήλους του. Αλλά αυτή η τεχνική δεν ταιριάζει γενικά με τον συνήθη τρόπο δράσης της ransomware συμμορίας REvil.
Σύμφωνα με μια έκθεση της εταιρείας ασφαλείας Advanced Intel (για το προηγούμενο έτος), η συμμορία REvil έχει εξειδικευτεί στις επιθέσεις σε εταιρικά δίκτυα, αξιοποιώντας μη ενημερωμένα συστήματα κλπ.
Η εταιρεία ασφαλείας Bad Packets είπε ότι η Telecom Argentina διέθετε Citrix VPN servers που ήταν ευάλωτοι στην ευπάθεια CVE-2019-19781, παρά το γεγονός ότι έχει κυκλοφορήσει ένα patch εδώ και κάποιους μήνες.
Η συμμορία REvil ransomware διαθέτει, επίσης, ένα site στο οποίο εκθέτει δεδομένα των θυμάτων του. Προς το παρόν, δεν έχουν διαρρεύσει αρχεία της Telecom Argentina.