El avance tecnológico ha traído consigo numerosos beneficios para las empresas y usuarios en general; sin embargo, también ha abierto la puerta a nuevas formas de ciberdelincuencia, siendo el ransomware una de las más perjudiciales y lucrativas para los atacantes. Recientemente, organizaciones en Chile y Perú han experimentado el impacto directo de estos ataques, incluyendo a destacadas compañías como el Grupo GTD. El veloz Rorschach/BabLock ransomware encripta datos y golpea a 3000+ entes y firmas.
El 23 de octubre, Grupo GTD, proveedor de servicios tecnológicos, fue blanco de un ataque de ransomware. Este incidente impactó su oferta de Infraestructura como Servicio (IaaS), comprometiendo data centers, servicios telefónicos, VPNs y conexiones a internet de sobre 3000 clientes, principalmente en Chile y en menor medida en Perú.
Ante el ataque del ransomware conocido tanto como Rorschach como BabLock, GTD desactivó sus servicios IaaS para una revisión minuciosa y prevenir la difusión del malware. A medida que se revisaban los sistemas, los servicios se fueron restaurando gradualmente. Al momento de redactar este texto, aún había más de 300 clientes experimentando interrupciones.
Este tipo de ciberataques se caracteriza por su capacidad para infiltrarse en los sistemas de diversas maneras, cifrar información crítica y exigir un rescate, generalmente en criptomonedas, para liberar los datos afectados.
Cristian Bravo, líder del Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), explicó ante el Comité de Seguridad Ciudadana del Congreso que el ransomware afectó a servicios críticos. Entre ellos, la plataforma de atención de FONASA, Salud Responde; la autenticación digital de la Secretaría General de la Presidencia; el sistema RPE de la Alta Dirección Pública, perturbando las operaciones de más de 77 municipios y varios gobiernos regionales.
Comunicado en perfil oficial de la empresa GTD, fecha del incidente
Bravo destacó la completa colaboración de la empresa en la resolución del incidente, aportando una amplia cantidad de información. Esto se alinea con la reciente legislación chilena (vigente desde diciembre de 2022), que obliga a reportar incidentes de seguridad informática en entidades estatales. Dicha normativa fue una reacción directa al ciberataque del año pasado que resultó en la filtración de datos en organismos gubernamentales.
Podría interesarte leer: Ransomware as a Service: Una Amenaza Alarmante
En recientes informes de seguridad, se ha identificado el uso del ransomware Rorschach, también referido como BabLock, en un ataque reciente. Aunque no se ha vinculado con ningún grupo de ciberdelincuentes específico, los expertos en seguridad han señalizado su alto grado de sofisticación y velocidad, siendo capaz de cifrar dispositivos en apenas cuatro minutos y medio.
Según las investigaciones del equipo de inteligencia de amenazas del CSIRT, los atacantes han aprovechado una vulnerabilidad en archivos ejecutables para inyectar un payload malicioso del ransomware, identificado como config[.]ini, a través de una DLL perjudicial en un proceso de Notepad.
Te podría interesar leer: Actividades APT 2023: Resumen Semestral
El modelo de Infraestructura como Servicio, o IaaS, es una forma de virtualización que proporcionan empresas como GTD. Este servicio tecnológico transforma un servidor físico en una serie de pequeñas computadoras virtuales que los clientes pueden utilizar y gestionar, mientras que el mantenimiento del servidor permanece bajo la custodia del proveedor.
En el incidente de GTD, fue precisamente este software de virtualización el que se vio comprometido. Los ciberatacantes explotaron una vulnerabilidad existente para tomar control de las máquinas virtuales y secuestrar la información que albergaban.
Este incidente se clasifica como un ataque a la cadena de suministro. En tal escenario, los ciberdelincuentes explotan una falla de seguridad en un proveedor de gran envergadura, afectando así la integridad de los sistemas de numerosas organizaciones que dependen de sus servicios.
Te podría interesar leer: Ciberseguridad en la Cadena de Suministro con Wazuh
En conclusión, el ransomware es una amenaza creciente para la seguridad digital en Latinoamérica. El caso de Grupo GTD destaca la importancia de tomar medidas proactivas para proteger a las organizaciones de estos ataques devastadores. Al invertir en educación, infraestructura de seguridad y planes de respuesta a incidentes, las empresas pueden fortalecer su resiliencia ante el ransomware y asegurar la continuidad de sus operaciones.