{"id":258903,"date":"2021-07-23T20:11:25","date_gmt":"2021-07-23T20:11:25","guid":{"rendered":"https:\/\/www.ecuadortimes.net\/es\/?p=258903"},"modified":"2021-07-23T20:11:25","modified_gmt":"2021-07-23T20:11:25","slug":"virus-ransomexx-es-el-responsable-del-ciberataque-a-cnt","status":"publish","type":"post","link":"https:\/\/www.ecuadortimes.net\/es\/virus-ransomexx-es-el-responsable-del-ciberataque-a-cnt\/","title":{"rendered":"Virus RansomEXX es el responsable del ciberataque a CNT"},"content":{"rendered":"<div class=\"entry__content\">\n<p>La empresa p\u00fablica Corporaci\u00f3n Nacional de Telecomunicaciones (<strong>CNT<\/strong>) vive una compleja situaci\u00f3n por un ataque cibern\u00e9tico. El pasado jueves 22 de julio de 2021, la ministra de Telecomunicaciones, <strong>Vianna Maino<\/strong>, confirm\u00f3 que se trata de un ataque de un virus inform\u00e1tico de la familia <strong>RansomEXX<\/strong>.<\/p>\n<div id=\"attachment_258904\" style=\"width: 810px\" class=\"wp-caption alignnone\"><img aria-describedby=\"caption-attachment-258904\" loading=\"lazy\" class=\"size-full wp-image-258904\" src=\"https:\/\/www.ecuadortimes.net\/es\/wp-content\/uploads\/2021\/07\/ecuador-times-ecuador-news-ransomexx-virus-is-responsible-for-the-cyberattack-on-cnt.jpg\" alt=\"\" width=\"800\" height=\"447\" \/><p id=\"caption-attachment-258904\" class=\"wp-caption-text\">La Ministra de Telecomunicaciones explic\u00f3 la situaci\u00f3n de la telef\u00f3nica estatal.<\/p><\/div>\n<p>\u201cEste tipo de amenazas pueden atacar diversas instancias: el lugar f\u00edsico, la red o las <strong>bases de datos<\/strong>\u201d, indic\u00f3 la Ministra y precis\u00f3 que, en el caso de CNT, \u201cafect\u00f3 \u00fanicamente a los sistemas inform\u00e1ticos\u201d.<\/p>\n<p>As\u00ed, el funcionamiento de \u00e1reas como facturaci\u00f3n, activaciones y recargas se alter\u00f3.<\/p>\n<h5>Una lista de entidades de alto perfil<\/h5>\n<p>EL COMERCIO accedi\u00f3, a trav\u00e9s de un <a title=\"\" href=\"https:\/\/tails.boum.org\/about\/index.es.html\" target=\"_blank\" rel=\"noreferrer noopener\">sistema encriptado y amn\u00e9sico<\/a>, a la direcci\u00f3n que est\u00e1 en la \u2018<strong>deep web<\/strong>\u2019. All\u00ed hay \u2018links\u2019 a varios ataques llevados a cabo con el mismo c\u00f3digo.<\/p>\n<p>Entre las instituciones atacadas anteriormente est\u00e1n el <strong>Ayuntamiento de Castell\u00f3<\/strong>, en Espa\u00f1a; la fabricante japonesa de equipos de impresi\u00f3n <strong>Konica<\/strong> <strong>Minolta<\/strong>; Pertamina EP, una firma p\u00fablica de petr\u00f3leo de Indonesia; <strong>Ultrapar<\/strong> Participa\u00e7\u00f5es S.A., una empresa brasile\u00f1a de transporte de combustible; el <strong>Departamento de Transporte de Texas<\/strong>, en Estados Unidos; Embraer S.A., un conglomerado aeroespacial brasile\u00f1o; entre otros.<\/p>\n<p>Al ingresar en el link de CNT, hay <strong>23 enlaces con informaci\u00f3n supuestamente sustra\u00edda.<\/strong> Pero Maino dijo ayer que no hay evidencia de que la informaci\u00f3n sensible haya sido afectada o sustra\u00edda.<\/p>\n<p>Cada uno de los links contiene 500 megabytes. En total suman alrededor de <strong>11,23 gigabytes.<\/strong> Seg\u00fan dijo el grupo de ciberdelincuentes inicialmente, habr\u00edan podido descargar <strong>190 gigabytes <\/strong>en archivos internos de la compa\u00f1\u00eda de telecomunicaciones.<\/p>\n<div class=\"twitter-tweet twitter-tweet-rendered\" style=\"display: flex; max-width: 550px; width: 100%; margin-top: 10px; margin-bottom: 10px;\"><iframe id=\"twitter-widget-0\" class=\"\" style=\"position: static; visibility: visible; width: 550px; height: 1155px; display: block; flex-grow: 1;\" title=\"Twitter Tweet\" src=\"https:\/\/platform.twitter.com\/embed\/Tweet.html?creatorScreenName=elcomerciocom&amp;dnt=false&amp;embedId=twitter-widget-0&amp;features=eyJ0ZndfZXhwZXJpbWVudHNfY29va2llX2V4cGlyYXRpb24iOnsiYnVja2V0IjoxMjA5NjAwLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X2hvcml6b25fdHdlZXRfZW1iZWRfOTU1NSI6eyJidWNrZXQiOiJodGUiLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X3NwYWNlX2NhcmQiOnsiYnVja2V0Ijoib2ZmIiwidmVyc2lvbiI6bnVsbH19&amp;frame=false&amp;hideCard=false&amp;hideThread=false&amp;id=1417903899143458821&amp;lang=es&amp;origin=https%3A%2F%2Fwww.elcomercio.com%2Factualidad%2Fnegocios%2Fvirus-ransomeware-cnt-ministerio-telecomunicaciones.html&amp;sessionId=5b708fd1981e65b3cded449873c1f5a1f07824f5&amp;siteScreenName=elcomerciocom&amp;theme=light&amp;widgetsVersion=82e1070%3A1619632193066&amp;width=550px\" frameborder=\"0\" scrolling=\"no\" allowfullscreen=\"allowfullscreen\" data-tweet-id=\"1417903899143458821\"><\/iframe><\/div>\n<p><script async=\"\" src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>EL COMERCIO descarg\u00f3 algunos de estos archivos compilados en 23 archivos .zip a un almacenamiento seguro. Antes de comenzar, trav\u00e9s del hash MD5, este Diario verific\u00f3 que los archivos coincidieran con el hash proporcionado.<\/p>\n<p>MD5 es un<strong> algoritmo de reducci\u00f3n criptogr\u00e1fico<\/strong> que se suele utilizar para verificaci\u00f3n de descargas. Cuando una parte m\u00ednima de cualquier archivo es modificada, el valor del MD5 cambia. Es as\u00ed que si un archivo descargado coincide con el hash proporcionado, significa que no ha sufrido alteraciones.<\/p>\n<h5>Soluciones temporales para clientes<\/h5>\n<p>Por la pronta respuesta de la entidad estatal, tambi\u00e9n se pudo mantener la operaci\u00f3n de los servicios ofrecidos (telefon\u00eda fija, m\u00f3vil e Internet).<\/p>\n<p>Maino admiti\u00f3 que existe lentitud en \u201clas interconexiones\u201d con otras entidades, como el <strong>Registro Civil<\/strong>. \u201cEsto se ha dado por el refuerzo de la seguridad\u201d, dijo la funcionaria.<\/p>\n<p>Para el experto en seguridad cibern\u00e9tica, <strong>Fabricio<\/strong> <strong>Zules<\/strong>, los trabajos de protecci\u00f3n de datos y control del hackeo pueden tomar unas semanas.<\/p>\n<p>Por lo pronto, la Ministra afirm\u00f3 que servicios al usuario como <strong>recargos y pagos por bancos<\/strong> est\u00e1n operativos al 100%, con excepci\u00f3n de las atenciones en las agencias de CNT \u201cpor protocolos de seguridad\u201d. Adem\u00e1s, a los clientes que no han podido cancelar sus <strong>valores<\/strong> <strong>pendientes <\/strong>no se les cortar\u00e1 el servicio ni se aplicar\u00e1n valores adicionales por mora o multas.<\/p>\n<div class=\"twitter-tweet twitter-tweet-rendered\" style=\"display: flex; max-width: 550px; width: 100%; margin-top: 10px; margin-bottom: 10px;\"><iframe id=\"twitter-widget-1\" class=\"\" style=\"position: static; visibility: visible; width: 550px; height: 480px; display: block; flex-grow: 1;\" title=\"Twitter Tweet\" src=\"https:\/\/platform.twitter.com\/embed\/Tweet.html?creatorScreenName=elcomerciocom&amp;dnt=false&amp;embedId=twitter-widget-1&amp;features=eyJ0ZndfZXhwZXJpbWVudHNfY29va2llX2V4cGlyYXRpb24iOnsiYnVja2V0IjoxMjA5NjAwLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X2hvcml6b25fdHdlZXRfZW1iZWRfOTU1NSI6eyJidWNrZXQiOiJodGUiLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X3NwYWNlX2NhcmQiOnsiYnVja2V0Ijoib2ZmIiwidmVyc2lvbiI6bnVsbH19&amp;frame=false&amp;hideCard=false&amp;hideThread=false&amp;id=1418241207575224325&amp;lang=es&amp;origin=https%3A%2F%2Fwww.elcomercio.com%2Factualidad%2Fnegocios%2Fvirus-ransomeware-cnt-ministerio-telecomunicaciones.html&amp;sessionId=5b708fd1981e65b3cded449873c1f5a1f07824f5&amp;siteScreenName=elcomerciocom&amp;theme=light&amp;widgetsVersion=82e1070%3A1619632193066&amp;width=550px\" frameborder=\"0\" scrolling=\"no\" allowfullscreen=\"allowfullscreen\" data-tweet-id=\"1418241207575224325\"><\/iframe><\/div>\n<p><script async=\"\" src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Las <strong>l\u00edneas prepago <\/strong>que han realizado <strong>recargas <\/strong>en los \u00faltimos meses recibir\u00e1n un<strong> bono de 1 GB de Internet, <\/strong>sin costo adicional, que se activar\u00e1 autom\u00e1ticamente y ser\u00e1 comunicado en los pr\u00f3ximos d\u00edas, dijo la empresa p\u00fablica.<\/p>\n<h5>Anatom\u00eda de un ransomwre<\/h5>\n<p>El ransomware es una forma de extorsi\u00f3n en la cual el atacante encripta la informaci\u00f3n almacenada en el sistema vulnerado, con una llave de desencriptaci\u00f3n a la que solo tiene acceso el ciberdelincuente. Para entregar la llave, el atacante pide un rescate.<\/p>\n<p>Un ransomware tiene dos principales caracter\u00edsticas:<\/p>\n<ol>\n<li>Al penetrar en un sistema busca expandirse.<\/li>\n<li>Inmediatamente empezar\u00e1 a encriptar los datos dentro.<\/li>\n<\/ol>\n<p>Un <a title=\"\" href=\"https:\/\/cybereason.com\/blog\/cybereason-vs.-ransomexx-ransomware\" target=\"_blank\" rel=\"noreferrer noopener\">an\u00e1lisis de Cybereason <\/a>al malware usado por RansomEXX identific\u00f3 que esta familia de ransomware est\u00e1 en uso desde 2018. Aunque, en un principio, RansomEXX usaba vulnerabilidades en Windows, desde mediados de 2020 se empez\u00f3 a registrar una variante para Linux. Este \u00faltimo fue identificado por <a title=\"\" href=\"https:\/\/securelist.com\/ransomexx-trojan-attacks-linux-systems\/99279\/\" target=\"_blank\" rel=\"noreferrer noopener\">Kaspersky Lab<\/a>.<\/p>\n<p>A este tipo de ataques, los analistas de seguridad lo llaman <a title=\"\" href=\"https:\/\/www.zdnet.com\/article\/linux-version-of-ransomexx-ransomware-discovered\/\" target=\"_blank\" rel=\"noreferrer noopener\">\u2018big-game hunter<\/a>\u2019 o ransomware operado por humanos. Son grupos que buscan a grandes organizaciones para cobrar grandes recompensas, a sabiendas de que existen compa\u00f1\u00edas o agencias gubernamentales que no pueden permitirse el costo de estar inactivas mientras sus sistemas se recuperan.<\/p>\n<p>En el caso de CNT, el ataque externo ocurri\u00f3 el pasado 14 de julio. Ese mismo d\u00eda la empresa recibi\u00f3 una solicitud de rescate, detall\u00f3 la Ministra. \u201cPosterior a ella (a la solicitud), <strong>CNT no ha recibido ninguna petici\u00f3n de rescate<\/strong> (\u2026). No se ha secuestrado informaci\u00f3n, no se ha hablado de dinero. No hay ning\u00fan tipo de negociaci\u00f3n en curso\u201d, dijo.<\/p>\n<p>Para la funcionaria, los fines no ser\u00edan econ\u00f3micos y dijo que la Fiscal\u00eda debe investigar las verdaderas motivaciones.<\/p>\n<p>Al ser las criptomonedas un m\u00e9todo de cambio an\u00f3nimo, suele ser el medio de pago con el cual los atacantes piden rescates. El mecanismo se ha hecho tan com\u00fan que, incluso, <strong>Estados Unidos <\/strong>decidi\u00f3 a inicios de junio dar a los ataques de ransomware una prioridad similar a la de actividades terroristas, para as\u00ed tener m\u00e1s recursos al combatir posibles amenazas.<\/p>\n<p>Esta nueva calificaci\u00f3n para los hackeos ransomware se dio luego de un importante ataque a un <strong>oleoducto estadounidense<\/strong>, el cual dej\u00f3 sin abastecimiento de combustible a una gran parte de la costa sudeste del pa\u00eds por varios d\u00edas. Seg\u00fan Chainalysis, en el 2020 el valor de criptomonedas recibidas por direcciones de ransomware ascendi\u00f3 a USD 406 millones.<\/p>\n<\/div>\n<p><a href=\"https:\/\/www.elcomercio.com\/actualidad\/negocios\/virus-ransomeware-cnt-ministerio-telecomunicaciones.html\">https:\/\/www.elcomercio.com\/actualidad\/negocios\/virus-ransomeware-cnt-ministerio-telecomunicaciones.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La empresa p\u00fablica Corporaci\u00f3n Nacional de Telecomunicaciones (CNT) vive una compleja situaci\u00f3n por un ataque cibern\u00e9tico. El pasado jueves 22 de julio de 2021, la ministra de Telecomunicaciones, Vianna Maino, confirm\u00f3 que se trata de un ataque de un virus inform\u00e1tico de la familia RansomEXX. \u201cEste tipo de amenazas pueden atacar diversas instancias: el lugar f\u00edsico, la red o las bases de datos\u201d, indic\u00f3 la Ministra y precis\u00f3 que, en el caso de CNT, \u201cafect\u00f3 \u00fanicamente a los sistemas inform\u00e1ticos\u201d. As\u00ed, el funcionamiento de \u00e1reas como facturaci\u00f3n, activaciones y recargas se alter\u00f3. Una lista de entidades de alto perfil EL COMERCIO accedi\u00f3, a trav\u00e9s de un sistema encriptado y amn\u00e9sico, a la direcci\u00f3n que est\u00e1 en la \u2018deep web\u2019. All\u00ed hay \u2018links\u2019 a varios ataques llevados a cabo con el mismo c\u00f3digo. Entre las instituciones atacadas anteriormente est\u00e1n el Ayuntamiento de Castell\u00f3, en Espa\u00f1a; la fabricante japonesa de equipos de impresi\u00f3n Konica Minolta; Pertamina EP, una firma p\u00fablica de petr\u00f3leo de Indonesia; Ultrapar Participa\u00e7\u00f5es S.A., una empresa brasile\u00f1a de transporte de combustible; el Departamento de Transporte de Texas, en Estados Unidos; Embraer S.A., un conglomerado aeroespacial brasile\u00f1o; entre otros. Al ingresar en el link de CNT, hay 23 enlaces con informaci\u00f3n supuestamente sustra\u00edda. Pero Maino dijo ayer que no hay evidencia de que la informaci\u00f3n sensible haya sido afectada o sustra\u00edda. Cada uno de los links contiene 500 megabytes. En total suman alrededor de 11,23 gigabytes. Seg\u00fan dijo el grupo de ciberdelincuentes inicialmente, habr\u00edan podido descargar 190 gigabytes en archivos internos de la compa\u00f1\u00eda de telecomunicaciones. EL COMERCIO descarg\u00f3 algunos de estos archivos compilados en 23 archivos .zip a un almacenamiento seguro. Antes de comenzar, trav\u00e9s del hash MD5, este Diario verific\u00f3 que los archivos coincidieran con el hash proporcionado. MD5 es un algoritmo de reducci\u00f3n criptogr\u00e1fico que se suele utilizar para verificaci\u00f3n de descargas. Cuando una parte m\u00ednima de cualquier archivo es modificada, el valor del MD5 cambia. Es as\u00ed que si un archivo descargado coincide con el hash proporcionado, significa que no ha sufrido alteraciones. Soluciones temporales para clientes Por la pronta respuesta de la entidad estatal, tambi\u00e9n se pudo mantener la operaci\u00f3n de los servicios ofrecidos (telefon\u00eda fija, m\u00f3vil e Internet). Maino admiti\u00f3 que existe lentitud en \u201clas interconexiones\u201d con otras entidades, como el Registro Civil. \u201cEsto se ha dado por el refuerzo de la seguridad\u201d, dijo la funcionaria. Para el experto en seguridad cibern\u00e9tica, Fabricio Zules, los trabajos de protecci\u00f3n de datos y control del hackeo pueden tomar unas semanas. Por lo pronto, la Ministra afirm\u00f3 que servicios al usuario como recargos y pagos por bancos est\u00e1n operativos al 100%, con excepci\u00f3n de las atenciones en las agencias de CNT \u201cpor protocolos de seguridad\u201d. Adem\u00e1s, a los clientes que no han podido cancelar sus valores pendientes no se les cortar\u00e1 el servicio ni se aplicar\u00e1n valores adicionales por mora o multas. Las l\u00edneas prepago que han realizado recargas en los \u00faltimos meses recibir\u00e1n un bono de 1 GB de Internet, sin costo adicional, que se activar\u00e1 autom\u00e1ticamente y ser\u00e1 comunicado en los pr\u00f3ximos d\u00edas, dijo la empresa p\u00fablica. Anatom\u00eda de un ransomwre El ransomware es una forma de extorsi\u00f3n en la cual el atacante encripta la informaci\u00f3n almacenada en el sistema vulnerado, con una llave de desencriptaci\u00f3n a la que solo tiene acceso el ciberdelincuente. Para entregar la llave, el atacante pide un rescate. Un ransomware tiene dos principales caracter\u00edsticas: Al penetrar en un sistema busca expandirse. Inmediatamente empezar\u00e1 a encriptar los datos dentro. Un an\u00e1lisis de Cybereason al malware usado por RansomEXX identific\u00f3 que esta familia de ransomware est\u00e1 en uso desde 2018. Aunque, en un principio, RansomEXX usaba vulnerabilidades en Windows, desde mediados de 2020 se empez\u00f3 a registrar una variante para Linux. Este \u00faltimo fue identificado por Kaspersky Lab. A este tipo de ataques, los analistas de seguridad lo llaman \u2018big-game hunter\u2019 o ransomware operado por humanos. Son grupos que buscan a grandes organizaciones para cobrar grandes recompensas, a sabiendas de que existen compa\u00f1\u00edas o agencias gubernamentales que no pueden permitirse el costo de estar inactivas mientras sus sistemas se recuperan. En el caso de CNT, el ataque externo ocurri\u00f3 el pasado 14 de julio. Ese mismo d\u00eda la empresa recibi\u00f3 una solicitud de rescate, detall\u00f3 la Ministra. \u201cPosterior a ella (a la solicitud), CNT no ha recibido ninguna petici\u00f3n de rescate (\u2026). No se ha secuestrado informaci\u00f3n, no se ha hablado de dinero. No hay ning\u00fan tipo de negociaci\u00f3n en curso\u201d, dijo. Para la funcionaria, los fines no ser\u00edan econ\u00f3micos y dijo que la Fiscal\u00eda debe investigar las verdaderas motivaciones. Al ser las criptomonedas un m\u00e9todo de cambio an\u00f3nimo, suele ser el medio de pago con el cual los atacantes piden rescates. El mecanismo se ha hecho tan com\u00fan que, incluso, Estados Unidos decidi\u00f3 a inicios de junio dar a los ataques de ransomware una prioridad similar a la de actividades terroristas, para as\u00ed tener m\u00e1s recursos al combatir posibles amenazas. Esta nueva calificaci\u00f3n para los hackeos ransomware se dio luego de un importante ataque a un oleoducto estadounidense, el cual dej\u00f3 sin abastecimiento de combustible a una gran parte de la costa sudeste del pa\u00eds por varios d\u00edas. Seg\u00fan Chainalysis, en el 2020 el valor de criptomonedas recibidas por direcciones de ransomware ascendi\u00f3 a USD 406 millones. https:\/\/www.elcomercio.com\/actualidad\/negocios\/virus-ransomeware-cnt-ministerio-telecomunicaciones.html<\/p>\n","protected":false},"author":1,"featured_media":258904,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[35,24],"tags":[],"_links":{"self":[{"href":"https:\/\/www.ecuadortimes.net\/es\/wp-json\/wp\/v2\/posts\/258903"}],"collection":[{"href":"https:\/\/www.ecuadortimes.net\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ecuadortimes.net\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ecuadortimes.net\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ecuadortimes.net\/es\/wp-json\/wp\/v2\/comments?post=258903"}],"version-history":[{"count":1,"href":"https:\/\/www.ecuadortimes.net\/es\/wp-json\/wp\/v2\/posts\/258903\/revisions"}],"predecessor-version":[{"id":258905,"href":"https:\/\/www.ecuadortimes.net\/es\/wp-json\/wp\/v2\/posts\/258903\/revisions\/258905"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ecuadortimes.net\/es\/wp-json\/wp\/v2\/media\/258904"}],"wp:attachment":[{"href":"https:\/\/www.ecuadortimes.net\/es\/wp-json\/wp\/v2\/media?parent=258903"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ecuadortimes.net\/es\/wp-json\/wp\/v2\/categories?post=258903"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ecuadortimes.net\/es\/wp-json\/wp\/v2\/tags?post=258903"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}