Ransomware REVil para o banco chileno BancoEstado

Ransomware REVil para o banco chileno BancoEstado. O ransomware criptografou a maioria dos servidores e estações de trabalho da empresa.

BancoEstado, único banco comercial estatal do Chile, sofreu um ataque cibernético. As autoridades do banco disseram ter encontrado “software malicioso”. As autoridades estão investigando o incidente, enquanto os fundos dos clientes não foram afetados. 

Segundo fontes, o banco chileno foi atacado pelos operadores de ransomware REvil, mas os dados do BancoEstado ainda não foram publicados no site de vazamento da gangue. Isso sugere que o banco pagou o pedido de resgate ou ainda está negociando com os hackers. Os criminosos usaram o arquivo malicioso do Office para entregar um backdoor na infraestrutura do banco e usá-lo como ponto de entrada. Parece que o vetor de ataque foi uma série de mensagens de spam usando documentos do Office como arma.

Autoridades do banco estatal chileno BancoEstado relataram que durante o fim de semana, 05 e 06 de setembro, um “software malicioso” foi descoberto nos sistemas do banco. Autoridades do BancoEstado e do governo informaram que já foi protocolada denúncia junto à Unidade de Crimes Cibernéticos da Polícia de Investigação (PDI), ressaltando que até o momento nem fundos de clientes nem ativos do banco foram afetados. A ação legal se concentra em “sabotagem de TI”.

De acordo com a denúncia de sabotagem de computador apresentada pela instituição financeira, na manhã de sábado, um trabalhador relatou que ao abrir seu xomputador Apareceu uma mensagem informando que seus arquivos estavam criptografados e ao mesmo tempo ele tinha que seguir as instruções para descriptografá-los “.

Com isso em mente, os logs foram ativados e a gestão da cibersegurança informada para iniciar a “Análise de Segurança Interna da Plataforma”. Um usuário específico teve um problema com seu e-mail e foi diagnosticado como sendo um vírus malware originado de uma estação de trabalho no escritório Bandera N° 60 no município de Santiago. 

O documento acrescenta que a equipe de perícia de segurança cibernética analisou a estação de trabalho e continuou no mesmo dia para desconectar todos os computadores da rede “e então analisar o tráfego da rede corporativa para encontrar o executável associado ao vírus para determinar as consequências do vírus

Uma equipe de especialistas em segurança da Microsoft entrou em ação na segunda-feira para recuperar os sistemas do BancoEstado, o terceiro maior do Chile, a pedido da instituição, informou a rede de notícias Canal 13, de Santiago. A equipe estaria operando remotamente no socorro ao banco. 

A princípio, o banco planejava abrir agências e atender o público de forma limitada. Mas então determinou que todos os escritórios permaneceriam fechados até que o problema fosse resolvido. Na terça feira, dia -8 de setembro,  o BancoEstado conseguiu abrir 164 de suas 416 agências, enquanto no dia anterior todas estavam fechadas. No entanto, a instituição segue com grandes problemas para atender seus clientes, já que o ataque inutilizou perto de 15 mil computadores.

O BancoEstado possui 13 milhões de clientes. Em nota, o banco informou que embora algumas plataformas possam apresentar interrupções, sistemas como caixas eletrônicos e agências “Caja Vecina”, onde os clientes podem pagar suas contas, estarão funcionando. O banco também se desculpou pelas interrupções.

Ataque sem precedentes ao BancoEstado

A entidade já tinha visto tentativas de fraude e phishing antes, mas de acordo com o meio de comunicação Biobío , nunca um ataque como este. Biobío citou fontes afirmando que os invasores usaram a tática de ransomware.Isso foi confirmado pela unidade de segurança cibernética do governo (CSIRT). A técnica de ransomware envolve criptografar sistemas de TI e exigir dinheiro para descriptografar.

Embora a investigação esteja em andamento, está confirmado que o ataque teve origem em um documento recebido e aberto por um funcionário, que provavelmente instalou uma backdoor. Durante o fim de semana, os funcionários perceberam que não podiam acessar seus arquivos e os alertas dispararam.

O presidente do banco, Sebastián Sichel, disse em uma entrevista coletiva que os sistemas foram desligados assim que as autoridades perceberam que algo estava acontecendo. “ Os fundos de 13 milhões de pessoas não foram afetados … o que foi afetado foram os sistemas de alguns dos computadores do banco, cerca de 12.000”, disse ele.


 

 

Longas filas se formaram ontem diante de agências em Santiago. Correntistas se queixaram no Twitter de várias anomalias em suas contas, como transferências debitadas mas não creditadas no destino; cobranças indevidas; falta de acesso a contas de investimentos; e inconsistência de dados na totalização de valores. Ao mesmo tempo, cibercriminosos já iniciaram campanhas de spam em nome do banco, para capturar credenciais de clientes.

banco vem mantendo a comunicação com os clientes e a mídia por meio de press releases e já publicou sete deles para informar o andamento da recuperação dos seus sistemas. No último, às 14h de ontem, horário de Santiago, a instituição afirmou esperar que hoje 100% das agências estivessem operando. Especialistas chilenos garantem que esse é o maior incidente cibernético já ocorrido no país. Entre sábado e domingo, os sistemas foram desligados a esmo para evitar maior propagação do malware, e fontes ligadas ao banco contaram que “naquele mesmo sábado foram bloqueadas as contas Swift”, para evitar transferências de valores para outros países.

Especialistas afirmam que o incidente é resultado de falhas que não foram cobertas pelo banco nos últimos anos, mas o gerente-geral Juan Cooper  garante que não, já que “nos últimos três anos houve um investimento importante, cerca de 20 milhões de dólares, na atualização dessas redes”. Acrescentou que em março passado a empresa contratou uma apólice de cibersegurança, que cobre perdas para o banco ou terceiros. Fontes do setor bancário chileno dizem que os atacantes pediram US$ 9 milhões pela chave de decodificação dos sistemas, mas o banco não confirmou o pedido. O malware teria sido o REvil (ou Sodinokibi).

 

Fonte: CISO Advisor & Chile Today & NewsBeezer & Cybersafe

 
Veja também:

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!