Hechos clave:
-
El banco confirmó el ataque de los piratas, pero dijo que fue un intento fallido.
-
Los hackers aseguran que si no son contactados publicarán todos los datos robados.
La compañía de ciberseguridad Cyble alertó que el banco mexicano CIBanco habría sufrido un nuevo ataque ransomware, luego del ocurrido en febrero del año pasado. Los hackers se habrían apoderado de una cantidad no revelada de datos confidenciales de la empresa y de los clientes.
La firma de inteligencia difundió un mensaje atribuido a los piratas quienes amenazaron con divulgar la información presuntamente robada, en caso de que no sean contactados. De hecho, una parte de los datos ya habrían sido filtrados.
De acuerdo con información preliminar, los delincuentes de la banda REvil usaron para el ataque el software malicioso Sodinokibi o Sodin, mientras que el despliegue se habría ejecutado entre el 3 y el 9 de agosto. No quedó claro cuáles eran las exigencias de los delincuentes para devolver la información. Se desconoce si solicitaron un pago en bitcoin (BTC) o monero (XMR) como ha ocurrido en otros casos de ransomware.
El banco confirmó que sí hubo un ataque, pero que no se comprometió información de la institución ni de los clientes. Salvador Arroyo, consejero delegado de CIBanco, informó a medios locales que no tienen certeza de que los documentos ya revelados sean del banco o si se trata de imágenes para extorsionar a la institución.
«No tenemos certeza de si tienen información o sólo tienen fotos de ciertas pantallas. Se detectó la semana pasada un intento de ataque a nuestra infraestructura; sin embargo, nuestros protocolos de seguridad lo detectaron y de inmediato se aplicaron las medidas de seguridad conducentes», dijo Arroyo citado por El Economista.
El ejecutivo enfatizó que los atacantes no han establecido contactos con ellos para exigir el pago de algún rescate. Su posición contrasta con la de los hackers que aseguran que tienen en agenda una segunda y una tercera ronda de publicación de datos. Los implicados utilizarían un sitio denominado «Happy Blog» de la dark web.
CriptoNoticias constató que el sitio web del banco permanece con acceso restringido. Al intentar ingresar se despliega el siguiente mensaje: «Esta solicitud fue bloqueada por normas de seguridad». El banco admitió que, ante lo sucedido, debió suspender de forma intermitente algunos de sus servicios.
Lo ocurrido con CIBanco se produce 18 meses después que se confirmara un primer ataque ransomware. En febrero del año pasado la institución admitió que sí se produjo el ataque, pero que tampoco habría tenido éxito ya que los datos de los usuarios y de la empresa no fueron vulnerados.
Una investigación publicada la semana pasada por CriptoNoticias evaluó cómo la filtración de datos se había convertido en una estrategia para presionar pagos de ransomware con bitcoin. En la lista de ransomware con sitios para la filtración de datos se encuentran: Sodinokibi, AKO, CLOP, DoppelPaymer, Nemty, Nephilim, NetWalker, Pysa, Ragnar Locker, Sekhmet, Avaddon y Maze.
