Hoy en día, nuestra dependencia de la tecnología es más fuerte que nunca. Sin embargo, esta dependencia viene acompañada de riesgos significativos, como se evidenció recientemente cuando GTD, un gigante de las telecomunicaciones en Chile, se convirtió en el objetivo de un sofisticado ataque de ransomware. Este incidente pone de relieve la importancia crítica de la ciberseguridad y plantea preguntas urgentes sobre cómo las empresas pueden protegerse contra amenazas cibernéticas. A continuación, desglosaremos lo sucedido, incluyendo cómo operan estos ciberdelincuentes y qué medidas se pueden tomar para fortalecer la resiliencia al ransomware.
El conglomerado chileno Grupo GTD ha emitido una alerta indicando que su plataforma de Infraestructura como Servicio (IaaS) ha sido comprometida debido a un ciberataque, causando interrupciones en varios servicios en línea.
Actuando como un importante actor en el sector de las telecomunicaciones, Grupo GTD opera extensamente en regiones de América Latina, teniendo una presencia significativa en países como Chile, España, Colombia y Perú. La cartera de servicios de la empresa es diversa, abarcando desde el acceso a Internet hasta soluciones de telefonía, tanto fija como móvil, así como servicios avanzados que incluyen centros de datos y administración de TI.
La situación tomó un giro adverso en la mañana del 23 de octubre, cuando GTD se encontró en medio de un ciberataque devastador. Este incidente digital trastornó una gama de servicios esenciales, afectando áreas críticas como sus centros de datos, las provisiones de Internet y los servicios de Voz sobre IP (VoIP). En un esfuerzo por mantener una comunicación abierta, la empresa emitió un comunicado: "Reconociendo la necesidad de mantener diálogos proactivos y transparentes en tiempos de crisis, queremos confirmar, siguiendo nuestra conversación telefónica previa, que estamos enfrentando interrupciones parciales en varios servicios debido a un incidente de ciberseguridad", detallaba la alerta de seguridad de GTD.
Continuaba explicando: "Este contratiempo se concentra en segmentos específicos de nuestra plataforma IaaS y afecta algunos servicios comunes, como la telefonía IP, las redes privadas virtuales (VPN) y nuestro sistema de transmisión de televisión OTT. Es importante destacar que nuestro Centro de Operaciones de Red (COR) y los servicios de proveedor de Internet (ISP) continúan funcionando sin alteraciones".
En un movimiento de precaución para contener la amenaza, GTD tomó la decisión drástica de desconectar su plataforma IaaS de la red global de Internet, una acción que, aunque necesaria, resultó en las mencionadas interrupciones del servicio. La situación ganó confirmación oficial cuando el Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) de Chile corroboró más tarde que lo que GTD estaba experimentando era, de hecho, un ataque de ransomware.
El comunicado del CSIRT, traducido y publicado en su sitio web oficial, decía: “El lunes 23 de octubre por la mañana, fuimos informados por Grupo GTD de un incidente de ransomware que comprometió ciertos componentes de sus infraestructuras IaaS". El mensaje también señalaba las repercusiones a nivel nacional: "Como resultado, varios servicios públicos han experimentado caídas en sus plataformas en línea".
En línea con la regulación nacional, el CSIRT ha emitido una directiva clara, solicitando que todas las entidades públicas que dependen de la infraestructura IaaS de GTD cumplan con el decreto No. 273. Este mandato legal exige que las instituciones gubernamentales hagan una notificación formal si se encuentran en una situación donde un incidente de ciberseguridad podría tener un impacto adverso en sus operaciones.
Te podría interesar leer: CSIRT: Expertos en Seguridad Digital
Aunque CSIRT no ha especificado públicamente cuál operación de ransomware está detrás del reciente ciberataque contra GTD, se ha obtenido información que señala a la variante de ransomware Rorschach, previamente identificada en agresiones cibernéticas a compañías en Estados Unidos.
El ransomware Rorschach, alternativamente reconocido como BabLock, fue inicialmente documentado por investigadores de Check Point Research en abril de 2023. A pesar de que los especialistas no han asociado esta amenaza específica con ningún grupo de cibercriminales conocido, han emitido advertencias sobre su avanzada naturaleza y velocidad alarmante, teniendo la capacidad de encriptar completamente un dispositivo en solo 4 minutos y 30 segundos.
Detalles de un informe concerniente al incidente con GTD revelan que los ciberdelincuentes están explotando vulnerabilidades de secuestro de DLL en programas auténticos de compañías de seguridad cibernética como Trend Micro, BitDefender y Cortex XDR para introducir una DLL dañina. Este archivo DLL funciona como un inyector para Rorschach, procediendo a insertar una carga maliciosa denominada "config[.]ini" en un proceso de ejecución del Bloc de notas. Una vez en acción, el ransomware inicia su protocolo, cifrando archivos a lo largo del sistema comprometido.
En respuesta a estos hallazgos, CSIRT ha liberado una lista de indicadores de compromiso (IOC) relacionados con el ataque a GTD, resaltando archivos como "u.exe" y "d.exe" — componentes legítimos de TrendMicro y BitDefender que fueron cooptados — así como las DLLs maliciosas involucradas en el ataque. Ante la gravedad de la situación, el CSIRT de Chile está instando a todas las entidades que operan dentro de la infraestructura IaaS de GTD a tomar medidas decisivas para asegurar y auditar sus sistemas. Las recomendaciones incluyen:
1. Implementar un análisis antivirus exhaustivo de toda la infraestructura.
2. Investigar y eliminar cualquier aplicación o software no reconocido dentro de sus sistemas.
3. Examinar minuciosamente las cuentas de usuario en los servidores para detectar cualquier adición no autorizada.
4. Monitorizar la actividad y el rendimiento del disco duro para identificar comportamientos anómalos.
5. Realizar auditorías de datos para descubrir posibles filtraciones de información confidencial o variaciones en las bases de datos.
6. Supervisar el tráfico de red en busca de patrones inusuales.
7. Mantener registros detallados y actualizados de todas las actividades del sistema para facilitar un seguimiento efectivo.
8. Limitar el acceso a los servidores vía SSH únicamente a circunstancias indispensables.
Este incidente ocurre en el contexto de una serie de ataques cibernéticos en Chile, incluido uno significativo a principios de año contra el ejército chileno. En esa instancia, los perpetradores, vinculados al ransomware Rhysida, filtraron alrededor de 360,000 documentos confidenciales, subrayando la creciente amenaza que estos grupos cibernéticos representan para la seguridad nacional e institucional.
Te podría interesar leer: Seguridad ante Ransomware: Conoce este tipo de Ataque
En resumen, el ataque a GTD resalta una preocupación creciente en el mundo de la ciberseguridad: ninguna empresa está completamente a salvo de la amenaza del cibercrimen. A medida que los ciberdelincuentes continúan perfeccionando sus métodos, la necesidad de medidas de seguridad proactivas y de múltiples capas se vuelve cada vez más crítica.
El incidente con Rorschach es un llamado a la acción para todas las empresas para evaluar y fortalecer sus estrategias de ciberseguridad. Invertir en tecnología de seguridad, capacitación para trabajadores y preparación para incidentes no es solo una medida preventiva, sino una imperativa para asegurar la continuidad del negocio y la confianza de los clientes en esta era digital plagada de amenazas cibernéticas.