Todas las sucursales de BancoEstado permanecen cerradas este lunes luego que un ciberataque afectara sus sistemas el fin de semana. De acuerdo a grupos de seguridad, se trata de un ransomware, un tipo de malware que encripta los archivos del equipo infectado y solicita el pago de un “rescate” para liberarlos. El banco no ha confirmado aún que se trate de este malware.
El ataque
Los sistemas de BancoEstado comenzaron a verse afectados durante el fin de semana. Según circula en grupos de ciberseguridad, se trata del ransomware Sodinokibi, que afecta a sistemas Windows. Según estos grupos , toda la plataforma Windows del banco estaría afectada, incluyendo unas 14.000 estaciones de trabajo y cerca de 4.000 servidores.
BancoEstado trabaja para contener la amenaza y solicitó ayuda al RedTeam de Microsoft para enfrentar la situación. Se dice que el rescate solicitado por los atacantes ascendería a alrededor de 9 millones de dólares, según dijo el senador Felipe Harboe.
En tanto, el Comité Táctico de la Asociación de Bancos e Instituciones Financieras (ABIF) fue notificado y está revisando las medidas que se deben tomar a nivel bancario.
El ransomware
Sodinokibi es comercializado “como servicio”, es decir, se personaliza para la realización de ataques de acuerdo a las necesidades del cliente. Desde su aparición en 2019 se ha vuelto uno de los ransomware más comunes.
Sodinokibi es muy difícil de detectar, ya que recurre a varias técnicas de ofuscación para ocultarse de sistemas de seguridad como antivirus o de detección de intrusión (IDS), lo que hace que sea más difícil protegerse de él.
El ciberataque al @BancoEstado sería causado por el ransomware Sodinokibi, que el cual infecta computadores, encripta información y exige rescate para acceder a él.
No es que los clientes pierdan dinero de sus cuentas, pero si está afectando los servicios normales del banco pic.twitter.com/GT6WSFJrFL— Pedro Huichalaf Roa (@huichalaf) September 7, 2020
Esta versión estaría aprovechando una vulnerabilidad de Windows detectada en 2018 para ingresar a la infraestructura del banco. Además dentro de sus funciones apaga el servicio de antivirus, permitiéndole propagarse con mayor facilidad.
Consecuencias
El banco ha asegurado que los fondos de los clientes y el patrimonio del banco no han sido afectados. Sin embargo, los servicios prestados por el banco sí están en problemas, al encontrarse todos los sistemas “secuestrados”.
“Es evidente que las medidas preventivas no fueron suficientes. Vamos a pedir un informe detallado sobre las empresas contratadas, vigencia de sistemas de actualización de antivirus, etc”, criticó el senador (PPD) Felipe Harboe. Desde el Gobierno señalaron que se hizo una denuncia a la unidad de Cibercrimen de la PDI, y que se evaluarán acciones legales.
Zafar de un ransomware es complejo. Lo primero es determinar por dónde entró el malware para subsanar ese punto débil. Luego las opciones son pagar al secuestrador para liberar la información, intentar descifrar los datos por cuenta propia, o bien restaurar los sistemas desde el último respaldo existente, perdiendo la información más nueva.
“Formateando los equipos no se gana nada si no se encuentra por dónde entró el malware”, explica Fernando A. Lagos, director de NIVEL4 Cybersecurity a Las3Claves. “Lo más lógico sería formatear el sistema operativo y restaurar el último respaldo, todo eso lo tendrán que evaluar cuando logren recuperar la continuidad operacional”.
Respecto a enfrentar este tipo de amenazas, Harboe señala que “lo primero es asumir la condición de riesgo y exigir aumento de estándares de la infraestructura crítica. Luego fiscalizar su cumplimiento. Luego, el gobierno debe enviar el proyecto de ley de institucionalidad en ciberseguridad que comprometió para mayo de 2019 y aún no llega”.
Petición de millonario rescate a @BancoEstado para retomar control de sus sistemas revela la precariedad de la ciberseguridad en el banco público chileno. Pedí a Comisión de Economía de @Senado_Chile citación a sus máximos ejecutivos. Esto es muy grave.
— Felipe Harboe B (@felipeharboe) September 7, 2020
