IFX Networks: hay empresas argentinas afectadas por el ransomware
Compañías locales no pueden dar servicios a clientes, filtración de 38 TB de Xbox (Microsoft), MGM se recupera, Tribunal Penal Internacional y Pizza Hut hackeados.
SecOps es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
15>22 sept
🔌 IFX Networks: el ransomware afecta a empresas argentinas
El ciberataque contra el proveedor de servicios en la nube IFX Networks, que acaparó titulares de Colombia y Chile durante la semana pasada, desbordó a la Argentina: hay un grupo de empresas, principalmente Pymes que se vieron afectadas por el ransomware que, hasta hoy, causó estragos.
Ayer publiqué un reportaje en Clarín sobre el tema. Diversas fuentes, que pidieron permanecer en reserva, me contaron que sus empresas están imposibilitadas de satisfacer la demanda de una parte de sus clientes.
“El martes de la semana pasada, a las 5 de la mañana, se cayó toda la red IFX. Mis clientes empezaron a llamarme porque no podían operar en la nube”, contó el presidente de una compañía local que fabrica software para facturación.
La pyme presta servicios a más de mil abonados y una pequeña parte de ellos usa los servicios de IFX. “Apenas me llegó el primer mensaje me puse en contacto con el canal oficial de IFX que se llama CARE. Empezamos a hablar por WhatsApp pero dejaron de contestarme. En Argentina hay representación, pero es más bien comercial, no aportan información ni resuelven el problema”, agregó.
Me contacté con dos directivos de IFX de Argentina para saber qué pasaba, pero no me dieron una respuesta localizada: uno nunca contestó. El otro, simplemente compartieron el comunicado que, desde el 18 de este mes, la empresa comparte en su web. En realidad, a lo único que se puede acceder es a esa página del comunicado, ya que todos los sitios oficiales de IFX arrojan error 404.
“Lo que es complicado es que da la sensación de que perdieron información: cuando pedís una actualización, te mandan información genérica que viene desde Colombia, donde dicen que están contactando con los clientes para recuperar los backups. Mi sensación es que pueden haberlos perdido y no los pueden recuperar”, arriesga el director de la compañía.
Otra empresa de desarrollo de software, que contrata los servicios de IFX desde hace 10 años, confirmó que los problemas empezaron en la madrugada del martes de la semana pasada.
“Tenemos una parte de las operaciones en la nube con diferentes proveedores. Hace tiempo que nos veníamos yendo de IFX, porque veníamos teniendo muchos problemas con ellos -no de este estilo- y empezamos a mudar a otros servicios de cloud computing”, cuenta el director de desarrollo de una compañía que brinda ERP (Enterprise Resource Planning, gestión de recursos para empresas). Y acá viene lo más grave:
Lo más complicado es que no explican qué pasó e, internamente, sabemos que el CEO bajó la orden de no entregar los backups a los que se los pedimos. Cuando los solicitamos, no nos los dan, y esto es un problema porque necesitamos levantar los sistemas para seguir operando. Por lo menos que me dejen llevarme los datos y las configuraciones en un pen drive.
Esta empresa trabaja, además, con dos grandes compañías: “No puedo decir cuáles son, pero también hay grandes jugadores afectados por este problema”, aseguró.
“Por esta situación tengo clientes que no pueden facturar, andá a explicarle a la AFIP que se cayó IFX”, dice. “Estamos a jueves, pasó más de una semana y no podemos estar en línea con estos clientes”, remata.
El problema principal es la gran cantidad de servicios, tanto estatales como privados, que están alojados en de IFX, que se dedica también a lo que se conoce como MSP: Proveedor de Servicios Gestionados, esto es, gestión remota de infraestructura bajo un modelo de suscripción.
Es por esto que se trata de un ataque a la cadena de suministro. Santiago Pérez Montaño, analista de seguridad de la empresa de ciberseguridad Birmingham Cyber Arms, explicó a SecOps:
En el contexto de una estructura como la de IFX Networks, un ataque destructivo como es el ransomware logra paralizar operaciones, causar pérdida de datos y tener consecuencias financieras y reputacionales significativas no sólo para la organización comprometida, sino para todas las que dependen de ella o directamente utilizan sus servicios.
Sobre este tema, Clint Gibler (tl;dr sec) publicó la semana pasada un estudio que detalla la lógica del Supply Chain Attack (se puede ver en este enlace.
El actor de amenazas al que se le atribuye el ataque es Ransom House (Mario Locker), aunque al menos hasta el momento de la publicación de este boletín, no subió nada a su sitio.
El paso del tiempo dirá si los sistemas afectados de IFX, además de haberse visto interrumpidos, tienen datos de los clientes filtrados por los ciberdelincuentes en la dark web, en lo que sería el paso a la acción de la segunda fase de la extorsión que plantea el modelo del ransomware.
Mientras tanto, los clientes de IFX siguen sin poder proveer servicios a quienes los contrataron y se preguntan quién pagará esa indemnización por los problemas ocasionados.
🪟 Xbox sufrió la filtración más grande de su historia: 38 TB a la vista durante 3 años
Microsoft publicó por error 38 TB de información confidencial que revelaron los planes que tiene la compañía con su consola de videojuegos Xbox, su control y hasta una portátil: son los planes de la empresa para los próximos 7 años.
Si bien los archivos estaban en un servidor público del Tribunal del Distrito Norte de California de la Federal Trade Comission (FTC), no fue por ahí por donde vino el leak.
"La FTC no fue responsable de subir los planes de Microsoft para sus juegos y consolas a la web del tribunal. Microsoft fue responsable por el error de subir estos documentos", comentó a NBC News Douglas Farrar, vocero de la entidad.
La filtración reveló información clave que incluye los planes de la empresa de lanzar una nueva máquina, juegos todavía no anunciados, la primera consola portátil de su historia y un nuevo control. The Verge recopiló todas las filtraciones en este enlace.
También se pudo ver el plan de negocios para franquicias populares como Fallout y The Elder Scrolls:
Wiz, una empresa de cloud security, detalló la exposición en su blog. Allí explican que encontraron un repositorio de GitHub perteneciente a la división de investigación de inteligencia artificial de Microsoft que, desde julio de 2020, expuso decenas de terabytes en repositorios públicos de GitHub.
Estos datos incluían dos copias de seguridad completas de PC pertenecientes a empleados de Microsoft. Según Wiz, los datos incluían "datos personales confidenciales, incluidas contraseñas de servicios de Microsoft, claves secretas y más de 30.000 mensajes internos de Microsoft Teams de 359 empleados de Microsoft".
Microsoft vinculó la exposición de los datos al uso “excesivamente permisivo” de un token de firma de acceso compartido (SAS, Shared Access Signature), que permitía un control total sobre los archivos compartidos. Esta función de Azure permite compartir datos de una forma que los investigadores de Wiz describen como “difícil de controlar”.
💾 Explotan una PoC en WinRAR
Un hacker está difundiendo una prueba de concepto (PoC) falsa sobre un exploit para una vulnerabilidad de WinRAR, según detectó Palo Alto Networks.
El atacante cargó código malicioso en GitHub el 21 de agosto pasado. Sheila Berta, analista experta en seguridad ofensiva, explicó a SecOps este tipo de exploit a través del PoC:
Cuando se dio a conocer el RCE WinRaR el mes pasado, el atacante armó una PoC de lo que supuestamente era el exploit, pero en realidad no era el exploit sino un script que infectaba con un troyano. En este caso, el target eran investigadores de seguridad que se bajaban la PoC para probar la vulnerabilidad de WinRAR y terminaban infectados.
Una prueba de concepto suele ser útil cuando hay nuevas vulnerabilidades: “Lo que se suele hacer es una PoC que testea que la vulnerabilidad sea explotable, normalmente esa PoC es inocente (por ejemplo, ejecuta la calculadora), pero demuestra que la ejecución de código es posible”, aclara la especialista.
El actor de amenazas, "whalersplonk", diseñó el sistema para bajar un script que corre el troyano VenomRAT. Además incluía un resumen en el archivo README y un video Streamable que mostraba cómo usar el PoC, lo que lo hacía parecer más legítimo.
Según explicaron, ya no se encuentra activo, pero el caso funciona como un recordatorio de los riesgos que implica obtener pruebas de concepto de GitHub y ejecutarlas sin tomar medidas de seguridad adicionales.
👩⚖️ Ciberataque contra el Tribunal Penal Internacional
La Corte Penal Internacional informó que ciberdelincuentes lograron hackear su infraestructura y que el ataque “está en curso”, publicaron en un reporte oficial.
En una declaración compartida en X Twitter, el tribunal de crímenes de guerra de La Haya dijo que detectó "actividad anómala" a fines de la semana pasada e inmediatamente tomó medidas "para responder a este incidente de ciberseguridad y mitigar su impacto".
"De cara al futuro, el tribunal aprovechará el trabajo actualmente en curso para fortalecer su marco de ciberseguridad, incluida la aceleración del uso de la tecnología en la nube", dice el comunicado oficial.
Por el momento, ninguna banda de ransomware o cibercriminal se adjudicó el ataque.
🎰 MGM dice que los hoteles ya se recuperaron
Luego de sufrir un ciberataque que dio de baja los sistemas y causó un caos, la cadena hotelera MGM Resorts International comunicó que se pudo recuperar del incidente: "Estamos felices de que todos nuestros hoteles y casinos estén funcionando con normalidad", publicó el grupo empresario en su cuenta oficial de X Twitter.
"Las propiedades de MGM Resorts en Las Vegas y en todo el país han vuelto a sus operaciones normales", explicó el vocero de la empresa, Brian Ahern, a la agencia AP. MGM también tiene propiedades en Maryland, Massachusetts, Michigan, Mississippi, Nueva Jersey, Nueva York y Ohio.
El ataque fue llevado adelante por Scattered Spider, un actor de amenazas afiliado al conocido cartel de ransomware Black Cat (ALPHV).
Okta le dio más contexto al actor de amenazas esta semana y publicó un informe en el que señala que el grupo también entró a los sistemas de otras tres empresas del sector retail y tecnología.
“David Bradbury, director de seguridad de la empresa de gestión de identidad Okta, dijo que cinco de los clientes de la empresa, incluidos MGM y Caesars, habían sido víctimas de grupos de ciberdelincuentes conocidos como ALPHV y Scattered Spider desde agosto”, publicó Reuters, en relación al reporte de Okta que advertía esto a fines de agosto.
Durante la semana pasada, Las Vegas fue noticia por dos ataques: uno a MGM y otro a Caesars Entertainment. Según trascendió en versiones periodísticas (Bloomberg, Forbes), Caesars pagó 15 millones de dólares para que no exfiltren la información comprometida. MGM no pagó.
🍕 Hackeo a Pizza Hut en Australia
Las operaciones australianas de Pizza Hut se vieron interrumpidas por ciberataque en el que se robaron datos de los clientes, incluidas direcciones de entrega y detalles de pedidos.
En un correo electrónico enviado a los clientes el miércoles pasado, el director ejecutivo de Pizza Hut Australia, Phil Reed, dijo que la empresa se dio cuenta a principios de septiembre de un acceso de "terceros no autorizados" a algunos de los datos de la empresa.
"Aseguramos nuestros sistemas, contratamos a especialistas forenses y de ciberseguridad e iniciamos una investigación para ayudarnos a comprender lo que ocurrió e identificar los datos que se vieron afectados", aseguró.
Reed dijo que los datos obtenidos incluyen detalles de clientes y de pedidos en línea de la base de datos de Pizza Hut, incluidos nombres, dirección de entrega, direcciones de correo electrónico y números de contacto.
Estiman que afectó a cerca de 193 mil clientes.
🔗 Más info
Un actor pro iraní asegura haber afectado la red ferroviaria de Israel
Black Cat ataca la nube de Azure con el encriptador Sphynx
Emsisoft actualiza el número de casos del exploit de MOVEit: 1.190 organizaciones, 56 millones de individuos
Signal suma cifrado “resistente a ataques cuánticos”
VX-Underground publicó Black Mass Volume II: PDF gratuito
Yubico es ahora una empresa que cotiza en Wall Street