Ransomware secuestra sucursales de BancoEstado en Chile

El día domingo el BancoEstado de Chile anunció a sus clientes que fue víctima de un ataque cibernético y que se encontraban solucionándolo. No se supo la magnitud del ataque hasta el día lunes, cuando el banco anunció que sus sucursales no abrirían. El motivo: un ransomware, que había secuestrado la red de las sucursales del banco.

La historia detrás de este incidente comenzó el día 4 de septiembre, viernes por la tarde. Hasta donde se sabe, el hackeo fue originado por un documento de Office malicioso que fue abierto por un empleado del banco desde su equipo. Al abrirlo el archivo instaló una puerta trasera a la red de banco, la cual fue aprovechada por los hackers para acceder e instalar el ransomware.

Los primeros en darse cuenta del secuestro fueron los empleados que trabajaban en el turno del fin de semana. El sábado 5 de septiembre, al llegar a sus puestos de trabajo se dieron cuenta de que no tenían acceso a sus archivos. Eso es lo que hace un ransomware: encripta los archivos dentro de unos equipos. Para recuperarlos hay que pagarle al hacker por las llaves de desencriptación y usualmente el pago se realiza con bitcoin u otra criptomoneda.

Los empleados informaron al departamento de redes y seguridad informática del banco, que luego hizo un análisis de los daños: se trataba de un ataque grave y el protocolo indicaba que debían avisar tanto a la Comisión para el Mercado Financiero (CMF) como a la policía. La policía envió un comunicado a nivel nacional de Alerta Cibernética Alta y la CMF a su vez alertó a la banca. De manera coordinada, BancoEstado, la CMF y la Sociedades de Apoyo al Giro estuvieron trabajando para evitar que el virus atacara a otra entidad.

El día sábado fue trascendental. Los trabajadores tenían la instrucción de evitar ingresar a la red del banco. Mientras que los distintos equipos, incluso la policía, intentaban controlar el problema. Fuentes cercanas al periódico ZDNet indicaron que, inicialmente, el banco esperaba recuperarse del ataque sin que fuera notado. Pero el daño fue extenso, ya que el ransomware había encriptado la gran mayoría de los servidores internos y estaciones de trabajo de los empleados.

El domingo 6 de septiembre, el banco tenía a sus departamentos de operaciones y de ciberseguridad desplegados, y mantenía comunicación constante con la división de redes y seguridad informática (CSIRT) de la policía de Chile. Sin embargo, no pudieron esconder más las interrupciones en sus servicios y decidieron hacer público que habían sido víctimas del ataque de un software malicioso en un comunicado a través de Twitter.

Hoy, lunes 7 de septiembre, BancoEstado anunció que sus sucursales se encontraban cerradas. Dadas las características del ataque es posible que el banco trabaje en formatear las computadoras de sus sucursales y reinstalar el sistema operativo para que puedan volver a funcionar.

Afortunadamente, en este caso, BancoEstado hizo bien su trabajo y segmentó adecuadamente su red interna, lo que limitó lo que los piratas informáticos podían encriptar. Es por esto que las sucursales se encontraban cerradas pero el sitio web, el portal bancario, las aplicaciones móviles y los cajeros automáticos del banco siguieron funcionando. Asimismo, ni los clientes ni el banco han visto afectados su patrimonio, es decir, nadie perdió su dinero.

Otro banco en Chile es víctima del ransomware

El ransomware es uno de los ataques más populares que existen en internet. Su popularidad es tal que en la darknet pueden encontrarse servicios de Ransomware-as-a-Service, donde se pueden contratar piratas informáticos para que ataquen a ciertas empresas, cual mercenarios en un ejército.

Fuentes cercanas al proceso indicaron al periódico ZDNet que BancoEstado fue víctima de un ataque del ransomware Sodinokibi, del grupo REvil. Este ransomware es el mismo que afectó hace 15 días al fabricante de Whiskey Jack Daniel’s y que le robó 1 TB de información. También fue el mismo que hackeó al CIBanco en México a principios de agosto, pero no se sabe si le robó información.

El banco de México comparte eso con BancoEstado de Chile: no se sabe si se les robó información. El presidente del banco expresó que no hubo una solicitud de dinero para liberar los equipos. Hasta donde se sabe, los hackers que llevaron a cabo el ataque no han hecho público ninguno de sus datos, que es algo que estos criminales suelen realizar.

Según el periódico La Tercera de Chile, el ransomware es la principal ciberamenaza de Chile y este sería el segundo ataque en la historia reciente dirigido a un banco del país austral. En CriptoNoticias se ha publicado una investigación de los sitios en los que se comparte la información secuestrada por ransomware, a la que hay que estar atentos en los próximos días.