AtaquesNacionales

Empresas públicas de Medellín es víctima de posible ataque Ransomware y podrían estar en riesgo datos sensibles de la organización

Como ha sido usual en los últimos incidentes digitales sufridos en Colombia las organizaciones afectadas se esfuerzan por mantener en secreto lo que pasa pero en casos como el de Sanitas, Invima y Fiscalía la información de lo que realmente sucede termina por conocerse. 

El miércoles 14 de diciembre, luego de realizar varias búsquedas digitales para tratar de entender qué pasa realmente con EPM, MuchoHacker encontró una pista que lo llevó a un perfil anónimo en Twitter que compartió información que hasta el momento no es conocida.

La fuente que compartió datos con MuchoHacker actuó bajo el anonimato e indicó que tenía conocimiento técnico del tipo de ataque que sufrió la entidad el pasado lunes. Para verificar su conocimiento explicó el tipo de ataque, las posibles razones y compartió dos pruebas que demostrarían que se trata de un Ransomware.  

Antes de dar los detalles de las pruebas que comprobarían un extraño e inusual ataque ransomware es muy importante aclarar que no ha sido posible la verificación de los datos que compartió la fuente, en parte, por la política de comunicación y secreto que maneja esta organización pública ante el incidente. Básicamente cualquier esfuerzo por comprobar la veracidad de los datos expuestos debe contar con la colaboración de la empresa afectada.

MuchoHacker se comunicó con EPM el jueves 14 de diciembre al medio día a través de la  cuenta en Twitter de la organización  para que ofreciera su versión de los hechos a los que accedió MuchoHacker pero la entidad no respondió.  

Igualmente nos comunicamos con el jefe de comunicaciones de la entidad a quien le preguntamos sobre la posibilidad de hacer preguntas específicas sobre los hallazgos de estas publicación e indicó lo siguiente:

“Como lo ha informado EPM, esta semana se presentó un incidente de Ciberseguridad y avanza en la etapa de la recuperación con control de la plataforma tecnológica. Por ahora no hay un pronunciamiento adicional del tema. Tan pronto tengamos más información de la situación la estaremos compartiendo”, indicó Neiro Jaime, que como representante de la organización no ofreció a respuestas específicas que tenemos sobre el tipo de ataque que recibió la entidad pública.  

8upt97g

Basado en la información de la fuente y las pruebas que adjuntó se puede inferir que una parte de la estructura tecnológica de EPM puede estar bajo un ataque ransomware, sin antecedentes, y que se denomina 8upt97g.

Este es un ataque similar al que afectó a Invima, Sanitas y  Universidad Piloto de Colombia. Consiste en un programa que se instala en la red de una organización y tiene la capacidad de encriptar o cifrar información para luego pedir dinero a cambio de su rescate. 

En términos muy básicos es una especie de extorsión digital que se viene haciendo a compañías que pueden tener recursos para pagar por la restitución de sus datos. 

La fuente anónima que nos explicó el tipo de ataque también compartió pantallazos que probarían cómo se ejecutó el incidente de seguridad. 

La primera prueba es un pantallazo de un bloc de notas donde se observa una mensaje que dejaron los atacantes luego de ejecutar la infección a una parte de la infraestructura tecnológica de la entidad. 

Este tipo de notas son típicas advertencias que se ejecutan automáticamente en los ataques Ransomware. Con una nota similar a esta MuchoHacker pudo establecer el tipo de ataque a Sanitas y posteriormente realizó la entrevista a los atacantes. 

En la imagen se puede observar la explicaciones de qué es lo que pasa con el sistema afectado.

“Archivos importantes de su red fueron encriptados y ahora ellos tienen la extensión 8upt97g. Si quiere recuperar los archivos debe seguir las siguientes instrucciones”, indica el aviso en su traducción a español. 

Luego se aclara que información supuestamente sensible fue descargada y amenazan con publicar los datos si no se actúa rápidamente. 

En la amenaza hacen una lista de documentos que pueden estar comprometidos:

  • Datos de empleados, CVs, DL, SSN. 
  • Mapa completo de la red incluidas credenciales de servicios locales y remotos
  • Información financiera privada: Datos de clientes, pagos, presupuestos, reportes anuales, documentos bancarios. 
  • Documentos de fabricación: Datagramas, esquemas, dibujos. 

La extorsión digital aclara que no se debe intentar desencriptar la información y no se debe usar software para recuperar los datos ya que pueden perderse los documentos y no se podrán recuperar jamás. 

Finalmente la nota extorsiva indica que se debe descargar un navegador Tor Browser y se ofrece una url de contacto ubicado en algún espacio de la dark web.  

Muchohacker intentó acceder a esta url pero en el pantallazo compartido no tiene completa la URL y no fue posible verificar a dónde lleva esta dirección.

La fuente que compartió esta información también publicó otro pantallazo que mostraría archivos de un servidor de EPM donde se observa documentos de Excel que supuestamente son propiedad de la organización. Todos ellos tienen tienen la extensión .8upt97g

Sin antecedentes

Teniendo en cuenta la experiencia de hacer reportes sobre ataques ransomware desde el momento en que se obtuvó acceso a las pruebas se empezó una búsqueda de antecedentes con relación a la palabra clave ‘8upt97g’.  

Por más de 12 horas hemos buscado en todos los foros y sitios web donde pueda existir información y no existe ninguna referencia. 

Es importante anotar que en la mayoría de ataques ransomware que se han presentando en Colombia existe algún tipo de antecedente y fácilmente se le puede hacer trazabilidad.  Producto de esto es que se ha podido afirmar en este blog que Invima fue atacado por Blackbyte, Fiscalía por EnlaceHacktivista y Sanitas por RansomHouse. 

A pesar del esfuerzo para ubicar información en sitios web nacionales e internacionales no se encontró nada. 

Otra de las características inusuales de 8upt97g es que generalmente cuando se presenta un ataque Ransomware el grupo que lo hace se atribuye su ejecución ya que dentro de la comunidad de personas que realizan estas actividades existe una especie de orgullo una vez se produce el ataque.

En sitios web donde normalmente se publican este tipo de publicaciones no se registra nada sobre 8upt97g. Ni en foros, ni en canales de Telegram que comúnmente comparten esta información. 

La fuente que compartió las pruebas y ofreció explicaciones técnicas de lo que pudo pasar indicó a Mucho Hacker que la organización puede presentar una pérdida de datos y considera que el nivel de gravedad del asunto dependerá de la capacidad que tiene EPM de realizar copias de seguridad. Tema que desconoce y que aún EPM no aclara.

El experto cree que el ataque se produjo por un descuido en una parte de la infraestructura tecnológica de la organización y precisó que no toda la información de EPM está comprometida sino una parte que no estaba preparada para este tipo de ataques. 

Un ataque de estas características podría explicar por qué una entidad con la capacidad técnica de EPM aún no hay podido resolver cómo solucionar el pago de servicios públicos prepagos y clientes aún se quejen en Twitter por la falta de acceso a energía y agua potable.  Esto está pasando cuatro días después de conocerse el ataque.

Como ya se volvió costumbre en Colombia ninguna autoridad ni local, ni nacional se ha pronunciado sobre esta situación que claramente tiene una afectación de carácter público.  

Caracol Radio entrevistó el día de hoy a la Ministra Tic, Sandra Urrutia, y en la entrevista la funcionaria demostró que no tiene idea qué está pasando. 

Cualquier información adicional sobre este tema se recibe en el perfil en Twitter @Hyperconectado. Esta publicación se hace teniendo en cuenta el interés público. 

Actualización. Viernes 16 de diciembre. 2:37

En este post no se identificó el tipo de ataque realizado a EPM. Luego de revelar los pantallas que comprueban el ataque se descubrió que es un Blackcat. Se actualizó la información acá.

Un comentario en «Empresas públicas de Medellín es víctima de posible ataque Ransomware y podrían estar en riesgo datos sensibles de la organización»

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *