Makabra w banku. 12 000 komputerów zainfekowanych ransomware, oddziały zamknięte [Chile]

08 września 2020, 10:40 | Aktualności | komentarzy 6
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

BancoEstado – największy bank w Chile – został zainfekowany malware (prawdopodobnie chodzi o REvil). Pisząc kolokwialnie atakujący uderzyli z grubej rury: według doniesień zainfekowanych została większość serwerów i komputerów pracowników. Sam bank potwierdza zainfekowanie komputerów w oddziałach.

While initially, the bank hoped to recover from the attack unnoticed, the damage was extensive, according to sources, with the ransomware encrypting the vast majority of internal servers and employee workstations.

W poniedziałek (7.08.2020) oddziały były zamknięte, choć później poinformowano że już działa 21 z nich (wszystkich bank posiada ~400):

Bank wspomina że środki klientów są bezpieczne i działa bankowość elektroniczna, choć pojawiają się wpisy że wygląda to inaczej (niestabilność może wynikać też z nagłego szturmu na kanały elektroniczne banku)

Sprawa jest na tyle poważna, że zmobilizowała do działania rząd. Jeden z ministrów wypowiada się tak:

We react as quickly as possible. On Saturday morning when we had information, we lowered the systems, which allowed that the funds of the 13 million people were not affected and that, simply, what was affected were the systems or operating programs of some of the bank’s computers, approximately 12 thousand, which has affected the operation of the bank’s branches.

Jak napastnicy dostali się do infrastruktury banku? Wspomina się o zainfekowanym dokumencie Microsoft Office, ale pojawiają się i takie oferty (webshell na jednym z bankowych systemów za jedyne $6000):

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Michał

    To znaczy, że użytkownik pobrał zarażony dokument i jawnie uruchomił w nim obsługę makr / miał uruchomioną dla wszystkiego? Czy obchodzą ten mechanizm, że makra są wyłączone domyślnie?

    Odpowiedz
    • wk

      @Michał

      Obstawiałbym, że to jednak inna ścieżka infekcji.

      Odpowiedz
    • chs

      Makra w większości dużych organizacji są powszechne więc dobry phishing może wykonać kod w makrze. Małe firmy mogą nie mieć takiej ociężałej kultury technicznej, ale dla dużych działów wielkich firm makro jest czasami jedyną formą sprawnego działania (bo np. nie ma zasobów na IT które napisze dedykowaną aplikację do czegośtam, a makro można w miarę szybko wysłać do 10k pracowników).

      Odpowiedz
  2. ps

    Warto dodać że do pe wykorzystywali CVE-2018-8453.

    Odpowiedz
  3. kris

    słowo „makabra” jakoś tu nie pasuje, ale sytuacja rzeczywiście jest ciekawa

    Odpowiedz
    • makabra «coś strasznego, budzącego grozę»
      ;-)

      Odpowiedz

Odpowiedz