Banco Pichincha sufre ciberataque
AS-098-2021
Fecha: 13/Oct/2021
Resumen:
El Banco Pichincha, uno de los bancos más grandes de Ecuador, fue víctima de un ataque cibernético que interrumpió las operaciones y desconectó varios cajeros automáticos. El ciberataque ocurrió durante el fin de semana, lo que provocó que el banco cerrara partes de su red para evitar que el ataque se extendiera a otros sistemas.
En este momento, el Banco Pichincha no ha revelado públicamente la naturaleza del ataque. Sin embargo, fuentes de la industria de la ciberseguridad le han dicho a BleepingComputer que es un ataque de ransomware con actores de amenazas que instalan Cobalt Strike en la red.
Las bandas de ransomware y otros actores de amenazas comúnmente usan Cobalt Strike para obtener persistencia y acceso a otros sistemas en una red.
Cobalt Strike es un producto de prueba de penetración pagado que permite a un atacante implementar un agente llamado 'Beacon' en la máquina víctima. Beacon incluye una gran cantidad de funcionalidades para el atacante, que incluyen, entre otras, la ejecución de comandos, el registro de claves, la transferencia de archivos, el proxy SOCKS, la escalada de privilegios, mimikatz, el escaneo de puertos y el movimiento lateral, ejecuta un cargador de shellcode, que se carga en la memoria de un proceso sin tocar el disco.
Según la investigación, se envían cientos de miles de correos basura con adjuntos maliciosos Microsoft Word diseñados para inyectar Cobalt Strike en el sistema.
En febrero, banco Pichincha sufrió otro ciberataque por parte de ciberdelincuentes conocidos como 'Hotarus Corp' que afirmaron haber robado archivos de la red del banco. El -banco Pichincha cuestionó las afirmaciones del hacker y dijo que uno de sus proveedores fue violado en su lugar.
“Sabemos que hubo acceso no autorizado a los sistemas de un proveedor que brinda servicios de comercialización para el programa Pichincha Miles", dijo banco Pichincha en ese momento.
"En relación con esta fuga de información, y en base a una extensa investigación, no hemos encontrado evidencia de daños o acceso a los sistemas del Banco y, por lo tanto, la seguridad de los recursos financieros de nuestros clientes no se ve comprometida". [1]
“El Ministerio de Telecomunicaciones-Mintel le solicitó a la Superintendencia de Bancos y al gerente de la entidad bancaria se den a conocer el estado real del ataque cibernético y el grado de cumplimiento de las medidas de respuesta a dicho incidente.
Específicamente, le solicitó al gerente del Banco Pichincha que informe a la Dirección Nacional de Registro de Datos Públicos (Dinardap), que, si por el incidente registrado se ha vulnerado el derecho de protección de datos personales. Además, se le ofreció la colaboración e intervención para verificar el cumplimiento de lo que manda la Ley Orgánica de Protección de Datos Personales, vigente desde mayo de este 2021, agregó.” [2]
Recomendaciones
Las formas de distribución del Malware son Correos electrónicos infectados, anuncios maliciosos en Internet, ingeniería social, software pirata, por lo tanto, no descargue archivos o de click en enlaces de correos sospechosos, no descargue software pirata, utilice siempre claves robustas, no utilice las redes sociales para compartir información sensible, no de click en anuncios sospechosos en Internet, periódicamente analice sus dispositivos con un antivirus. Si ya dio click en enlaces sospechosos, su máquina tiene comportamiento fuera de lo normal, y su antivirus no detecta archivos infectados, es preferible una limpieza total, con un formateo del dispositivo.
Referencias:
FIRST
