Orange y Telecom fueron víctimas de un ataque de Ransomware

Orange y Telecom, dos grandes empresas de telecomunicaciones fueron víctimas de Ranzomware

Orange confirmó que sufrió un ataque de ransomware exponiendo los datos de veinte de sus clientes empresariales. Orange es una compañía de telecomunicaciones francesa que ofrece servicios de comunicación al consumidor y servicios comerciales a la empresa. Con 266 millones de clientes y 148.000 empleados, Orange es el cuarto operador móvil más grande de Europa. Por otra parte, Telecom (Fibertel), la empresa de telecomunicaciones más grande de Argentina con 16.000 empleados, ha sido víctima de otro ataque ransomware según reportan varios usuarios en Twitter y medios. Los atacantes exigen 7.5 millones de dólares en Monero, los equipos afectados fueron más de 18000.

Orange

Orange confirmó que sufrieron un ataque de ransomware dirigido a su división de «Orange
Business Services» en la noche del sábado 4 de julio de 2020 al 5 de julio. El 15 de julio, los operadores de ransomware detrás del Nefilim agregaron a Orange a su sitio de fuga de datos declararando que habían vulnerado a la compañía a través de su división «Orange Business Solutions».

Este mismo ataque habría permitido a los operadores de Nefilim obtener acceso a veinte datos de
clientes de Orange Pro/SME. Como parte de la filtración, publicaron un archivo de 339 MB titulado ‘Orange_leak_part1.rar’ que contenía datos que supuestamente robados a Orange durante el ataque.

La cuenta de Twitter Ransom Leaks, administrada por investigadores que analizan las fugas de ransomware, dijo que este archivo contenía correos electrónicos, esquemas de aviones y archivos de ATR Aircraft, un fabricante francés de aviones. Estos datos indican que ATR es cliente de la plataforma de Orange.

Dado que el robo de archivos sin cifrar es un componente importante de las operaciones de ransomware dirigidas a empresas, estos ataques deben considerarse tambien como robo de datos. Casi todos los ataques de ransomware ahora incluyen un componente de pre-cifrado donde los atacantes roban archivos no cifrados de la víctima para usar estos mismo para futuros ataques o hasta extorciones, estas tambien puede funcionar como amenaza de liberar públicamente estos archivos robados para obligar a las víctimas a pagar la demanda de rescate.

Telecom Argentina

Telecom Argentina S.A. es una compañía de telecomunicaciones que opera en Argentina. Dentro de los límites nacionales, la empresa es conocida simplemente como Telecom. Telecom, la empresa de telecomunicaciones más grande de Argentina ha sido víctima de un ataque ransomware según reportan varios usuarios en Twitter. Los atacantes exigen 7.5 millones de dólares en Monero.

Los usuarios finales no han sido afectados por lo que el servicio de Telecom, Fibertel y Cablevision puede utilizarse con normalidad. El ataque fue específicamente al sector interno: ningún usuario de Telecom, Personal o Fibertel se vio afectado. Los usuarios corporativos lamentablemente no han recibido ninguna notificación oficial de la empresa pero no se conocen casos de afectados, ya que el ataque y daño fue en la red interna de Telecom.

Según diversas fuentes, no se han afectado a cuenta de los clientes, y los usuarios internos afectados podrían seguir trabajado luego de la recuperación de los backups correspondientes. Los sistemas internos afectados serían la VPN corporativa, Citrix, Siebel, Genesys, las máquinas virtuales del Customer, Field Service y los PCs de usuarios internos.

OpenSmartflex es el nombre de la plataforma que utiliza Telecom para guardar una de las bases de datos
con la información de todos los clientes de Cablevision y Fibertel, que incluye también datos de clientes de Uruguay. Existe la posibilidad que esta haya sido afectada.

Telecom informa que logró contener un  intento de ciberataque, de dispersión global, en sus plataformas. No se vieron afectados servicios críticos de la empresa. Cabe destacar además que ningún cliente de la empresa se vio afectado por esta situación, como así tampoco las bases de datos de la compañía. Las gestiones de atención al cliente, suspendidas preventivamente serán restablecidas en forma paulatina.»

Al parecer el ataque ha sido sobre archivos de Office365 y OneDrive de empleados de Telecom Argentina, habiendo sido cifrados con nombres aleatorios y pidiendo un rescate por los archivos.


De acuerdo a distintas fuentes, se trataría del ransomware REvil (también conocido como Sodinokibi) que se identificó por primera vez el 17 de abril de 2019. Este ransomware es utilizado por el grupo de amenazas GOLD SOUTHFIELD, motivado financieramente, que distribuye el ransomware a través de kits de explotación, técnicas de exploración y explotación y servidores RDP expuestos.

Fuente: blog.elhacker.net

Comments are closed.