PREOCUPACION MUNDIAL POR EL CRECIMIENTO DE ATAQUES A INFRAESTRUCTURAS CRITICAS

Los ciberataques a infraestructuras críticas tuvieron un fuerte crecimiento en 2022. En este caso, los ciberdelincuentes pudieron afectar a un país latinoamericano.

La empresa energética colombiana Empresas Públicas de Medellín (EPM) sufrió un ataque de ransomware BlackCat/ALPHV el lunes, lo que interrumpió las operaciones de la empresa y cerró los servicios en línea.

EPM es uno de los proveedores públicos de energía, agua y gas más grandes de Colombia y brinda servicios a 123 municipios. La empresa generó más de 25.000 millones de dólares en ingresos en 2022 y es propiedad del municipio colombiano de Medellín.

El martes, la compañía le dijo a aproximadamente 4,000 empleados que trabajaran desde casa, con la infraestructura de TI caída y los sitios web de la compañía ya no están disponibles.

EPM reveló a  medios locales  que estaba respondiendo a un incidente de ciberseguridad y brindó métodos alternativos para que los clientes paguen por los servicios.

Posteriormente, la Fiscalía confirmó a  EL COLOMBIANO  que el ransomware estuvo detrás del ataque a EPM que provocó el cifrado de dispositivos y el robo de datos.

Sin embargo, no se reveló la operación de ransomware detrás del ataque.

BlackCat ransomware detrás del ataque

El ransomware BlackCat, también conocida como ALPHV, estaba detrás de los ataques, afirmando haber robado datos corporativos durante los ataques.

En la imágen podemos ver la muestra del cifrador y las notas de rescate del ataque EPM y ha confirmado que son de la operación de ransomware BlackCat.

Si bien la nota de rescate creada en el ataque indica que los atacantes robaron una amplia variedad de datos, se debe tener en cuenta que este es el texto exacto que se usa en todas las notas de rescate de BlackCat y no es específico de EPM.

Sin embargo, otros descubrimientos indican que los piratas informáticos probablemente robaron una gran cantidad de datos de EPM durante el ataque.

El investigador de seguridad chileno Germán Fernández descubrió  una muestra reciente de la herramienta de robo de datos ‘ExMatter’ de BlackCat, cargada desde Colombia a un sitio de análisis de malware.

ExMatter es una herramienta utilizada en los ataques de ransomware BlackCat para robar datos de las redes corporativas antes de que se cifren los dispositivos. Estos datos luego se utilizan como parte de los intentos de doble extorsión de la banda de ransomware.

Cuando se ejecuta la herramienta, robará datos de los dispositivos en la red y los almacenará en servidores controlados por atacantes dentro de carpetas con el nombre de la computadora de Windows de la que fue robado.

Al analizar la herramienta ExMatter, Fernández descubrió que cargaba los datos en un servidor remoto que no estaba adecuadamente protegido, lo que permitía a cualquier visitante ver los datos almacenados en él.

En la variante ExMatter de Colombia, los datos se cargaron en varias carpetas que comenzaron con ‘EPM-‘, como se muestra a continuación. 

Si bien no está claro cuántos datos totales fueron robados, Fernández le dijo a BleepingComputer que había un poco más de 40 dispositivos listados en el sitio.

BleepingComputer se comunicó con EPM para obtener más información sobre el ataque y la cantidad de datos robados, pero no hubo una respuesta disponible de inmediato.

Esta no es la primera vez que un ataque de ransomware se dirige a una empresa de energía colombiana.

En 2020, el  Grupo Enel sufrió un ataque de ransomware  dos veces en el mismo año.

Colombia también ha visto un aumento en los ataques en los últimos meses, con el sistema de salud del país interrumpido el mes pasado por un  ataque RansomHouse contra Keralty , una organización multinacional de atención médica.