Żądny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly
Makabra w banku. 12 000 komputerów zainfekowanych ransomware, oddziały zamknięte [Chile]
BancoEstado – największy bank w Chile – został zainfekowany malware (prawdopodobnie chodzi o REvil). Pisząc kolokwialnie atakujący uderzyli z grubej rury: według doniesień zainfekowanych została większość serwerów i komputerów pracowników. Sam bank potwierdza zainfekowanie komputerów w oddziałach.
While initially, the bank hoped to recover from the attack unnoticed, the damage was extensive, according to sources, with the ransomware encrypting the vast majority of internal servers and employee workstations.
W poniedziałek (7.08.2020) oddziały były zamknięte, choć później poinformowano że już działa 21 z nich (wszystkich bank posiada ~400):
Ya contamos con 21 sucursales operativas a lo largo del país y atenderán hasta las 16hrs.
En ellas puedes realizar trámites de caja, como depósitos y giros.
Revísalas a continuación 👇🏽 pic.twitter.com/4e4ELXI5B9— BancoEstado (@BancoEstado) September 7, 2020
Bank wspomina że środki klientów są bezpieczne i działa bankowość elektroniczna, choć pojawiają się wpisy że wygląda to inaczej (niestabilność może wynikać też z nagłego szturmu na kanały elektroniczne banku)
No es cierto que los servicios están disponibles. No puedo acceder a la información de mis depósitos a plazo. Necesito el detalle ahora y que se me confirme que está disponible el dinero. pic.twitter.com/MQ61OVWL1C
— Karina Ruiz (@Karina_Ruiz_P) September 8, 2020
Sprawa jest na tyle poważna, że zmobilizowała do działania rząd. Jeden z ministrów wypowiada się tak:
We react as quickly as possible. On Saturday morning when we had information, we lowered the systems, which allowed that the funds of the 13 million people were not affected and that, simply, what was affected were the systems or operating programs of some of the bank’s computers, approximately 12 thousand, which has affected the operation of the bank’s branches.
Jak napastnicy dostali się do infrastruktury banku? Wspomina się o zainfekowanym dokumencie Microsoft Office, ale pojawiają się i takie oferty (webshell na jednym z bankowych systemów za jedyne $6000):
Siguen atacando a BancoEstado en estos momentos. Ya apareció la recompensa. La trazabilidad del ataca se relaciona con un grupo terrorista. También está involucrado el Banco Santander y una empresa en Perú. pic.twitter.com/tMuLmfCvER
— DeepData5 (@DeepData5) September 8, 2020
–ms
To znaczy, że użytkownik pobrał zarażony dokument i jawnie uruchomił w nim obsługę makr / miał uruchomioną dla wszystkiego? Czy obchodzą ten mechanizm, że makra są wyłączone domyślnie?
@Michał
Obstawiałbym, że to jednak inna ścieżka infekcji.
Makra w większości dużych organizacji są powszechne więc dobry phishing może wykonać kod w makrze. Małe firmy mogą nie mieć takiej ociężałej kultury technicznej, ale dla dużych działów wielkich firm makro jest czasami jedyną formą sprawnego działania (bo np. nie ma zasobów na IT które napisze dedykowaną aplikację do czegośtam, a makro można w miarę szybko wysłać do 10k pracowników).
Warto dodać że do pe wykorzystywali CVE-2018-8453.
słowo „makabra” jakoś tu nie pasuje, ale sytuacja rzeczywiście jest ciekawa
makabra «coś strasznego, budzącego grozę»
;-)