Autor: Nazly Borrero Vásquez
En horas de la tarde del martes 12 de septiembre se reportaron fallas en las páginas web gubernamentales en Colombia y Chile debido a un ataque cibernético a la empresa IFX NETWORKS, que ofrece servicios de soluciones de telecomunicaciones con presencia en 17 países de Latinoamérica. Inicialmente, se confirmó que las empresas afectadas fueron el Ministerio de Salud, la Superintendencia de Industria y Comercio y el Consejo Superior de la Judicatura en Colombia.
El ciberataque fue desplegado con la modalidad de Ransomware (secuestro de información y aplicaciones) dirigido a la empresa IFX NETWORKS. Este ataque afectó algunas máquinas virtuales en Colombia. Por ello, el gobierno colombiano generó un PMU (Puesto de Mando Unificado) cibernético con el Colcert y el Ministerio de TIC para iniciar los protocolos de gestión de incidentes, ya que este ciberataque fue aumentando de escala, comprometiendo la información de los clientes con infraestructura crítica del estado debido al secuestro y fuga de la información recabada por los ciberdelincuentes.
Hasta ahora, el ciberataque hacia esta empresa afectó a cerca de 762 compañías de Latinoamérica, siendo Colombia y Chile las más afectadas.
El ciberataque fue atribuido a RansomHouse, quienes han realizado ataques a gran escala, como el del pasado mes de marzo hacia el Hospital Clínic de Barcelona.
Para Cybolt, es muy importante que nuestros clientes generen conciencia sobre este tipo de ataque y que los apoyemos. Por ello, Cybolt recomienda realizar una revisión constante de la infraestructura, contar con respaldos no solo en la nube o con terceros, generar y/o actualizar políticas de seguridad de la información, gestión de riesgos y continuidad del negocio, realizar capacitación constante al personal y, asimismo, integrar a los equipos no técnicos idóneos para que estén preparados para cualquier eventualidad. Recordemos que un ataque cibernético no distingue por el tamaño de la empresa o la cantidad de colaboradores que tenga; puede ser que las empresas no sean el objetivo principal, pero atacando a uno de sus proveedores, indirectamente, se ataca a la empresa.
Se han identificado posibles Indicadores de Compromiso (IoC) del presunto ataque de ransomware relacionado con IFX. A continuación, compartimos los posibles IoC:
Host:
- 104-168-132-128[.]nip[.]io
- us-west[.]com
- va5vkfdihi5forrzsnmins436z3cbvf3sqqkl4lf6l6kn3t5kc5efrad[.]onion
- zohlm7ahjwegcedoz7lrdrti7bvpofymcayotp744qhx6gjmxbuo2yid[.]onion
Direcciones IP:
- 104[.]168[.]145[.]204
- 122[.]146[.]90[.]200
- 123[.]168[.]11[.]194
- 138[.]199[.]40[.]178
- 144[.]123[.]6[.]70
- 149[.]28[.]203[.]102
- 156[.]146[.]45[.]207
- 192[.]129[.]189[.]73
- 192[.]52[.]167[.]199
- 198[.]46[.]140[.]52
- 212[.]102[.]42[.]90
- 216[.]158[.]232[.]18
- 222[.]173[.]222[.]228
- 37[.]19[.]199[.]202
- 45[.]144[.]227[.]42
Hash de archivos:
- 0284EBC8B81DD2894FBDB7CA298D1C2C85C41630B9B9AB99AED51AEC86073AAE
- 03C2C9FB9C320044C7C3185D3F82CDA2624C9544EAA648594E6D544129F890B0
- 03E8B29AD5055F1DDA1B0E9353DC2C1421974EB3D0A115D0BB35C7D76F50DE20
- 04234564FE449D51F7E685455FCFAFB3B7721A0B7D1551E3A370F579A3530E04
- 061C271C0617E56AEB196C834FCAB2D24755AFA50CD95CC6A299D76BE496A858
- 0C1D1A60A0FC143C9FC830BE48C53D488B414921CF4D97D66466FF2A628D1B4D
- 0D92DC6B1D5E47E815D9A1242F2EE417878D8B941D0E547602AD5FE2590A999B
- 0FA7C98D793B8C71D6BA29BDE4FD449E497B246F92AB30403330FAE3D8CB6FFD
- 120B092E8D8212A7C0E796AC320DD10C56C8B801AA8FB234CB577D5F0DABC05C
- 15224ADEAE393BE5D06378ED32605D677E8C529A395F9BF2ADE9B0163D886C49
- 1948EBD975715205211E0E61520C37250868F8CFF4977B9978648C65EE7494DD
- 19A9A43B36D2ED6516E4B1D8368CB3AF64362507D2B30F4CB742FBE50780EE89
- 1D4CCFA95990FBF6EE731DB78A945BAD5D3FFA82F0271D8C9AEFD314B6ECC6AF
- 1D7B235E1D790516E7D4643BAE43F5E32B05AFDF6059D5D5FE2FA359C52A7A2F
- 1D9DF55CA8B3DDA301A4E6A23586E06B39C86ADB1196802AA7787B6C49E15E37
- 1F233FDB94239FA884321A91D14342C1A66E64CE02DC64378CB7C53669D5EA28
- 1FEDE186E9D9666CE4EFF1882CE3BDCA66C9A121EA9773D8E57747912E8AD57E
- 2362E52E347D77A6B101B80057D9770E44A44599889385A83822625901631583
- 236F2A9FCC1176A802946828029465D054626F92D258015F8ABCCDC52D2365E7
- 257413C17F63500A76F9D0216A8DEE283021299A61DC0539E6E870FD5D78177B
Links de Consulta:
- https://www.virustotal.com/graph/g054262aa0a564465a9b15440d88b78785332ec6e87a04639b58b07618151f5bc
- https://www.virustotal.com/graph/gc171e30e29d64ea88608b9a17b8bf01386e91572bf19492080f098a71a9a70ba
A contuación, les hacemos llegar algunas recomendaciones para mantenerse protegidos:
- Implementar el bloqueo preventivo de los posibles indicadores de compromiso.
- Realizar campañas de concientización para educar a los empleados sobre amenazas, ataques y buenas prácticas de seguridad.
- No abrir ni descargar archivos o aplicaciones de fuentes no oficiales.
- Mantener actualizados las plataformas de detección y los sistemas de monitoreo de amenazas.
- Mantener actualizado y ajustado el software antispam para filtrar correos electrónicos no deseados y maliciosos.
- Implementar un respaldo que incluya la copia de seguridad regular de datos críticos y archivos importantes.
Escríbanos a [email protected]