Hace algunos días se esparció la noticia de algo inédito a nivel empresarial, un banco oficialmente instituido salió de “línea”, el Domingo 13 de abril por la madrugada.
Después todo el ecosistema de tiendas Coppel y Bancoppel se desconectó, dejando con muchas interrogantes tanto a cuentahabientes como a clientes que se quedaron en medio de procesos para pagar, comprar, o liquidar cuentas.
Hermetismo en la empresa
Sabemos que un acto de “Hacking” es algo vergonzoso para quienes poseen una licencia de Banco en México, pero no debería serlo ya que las empresas de ciberseguridad se están viendo rebasadas por la velocidad con lo que las vulnerabilidades en sistemas y arquitecturas de sistemas aparecen.
Y es tal vez, por eso, que la empresa no ha dado un informe oficial sobre lo que está ocurriendo. Sin embargo, hemos logrado obtener algunas filtraciones sobre lo que está ocurriendo a nivel entrañas de la empresa.
RAMSOMWARE SEXI (Lockbit3)
Lo último de lo último, se trata del Ramsomware más avanzado de la historia (hasta el momento), y según fuentes anónimas es el culpable de lo que ha ocurrido dentro del ecosistema de Coppel.
Reciéntemente los entornos de virtualización sufrieron una filtración de código fuente, causando que las empresas se vean en riesgo de haber sido infectadas sin siquiera estar enteradas.
Una analista de consultoría en ciberseguridad comenta que este virus llamado SEXI RAMSOMWARE es una variante del conocido Lockbit3, el cual habría nacido después del robo del código antes mencionado.
Es el virus come entornos VMWARE, por lo tanto aquellas empresas con esta arquitectura como modelo de trabajo Onpremise o Cloud son altamente vulnerables. No importa que tengas respaldos, serán destruidos.
¿Cómo funciona este virus?
SEXI ataca a los servidores ESX, cifra todos los ficheros VMDK, VMX, etc.. o según comenta el analista Francisco Valencia, la infraestructura de servidores. Además ataca y destruye las copias de seguridad, incluso las copias en cintas y discos son destruidas.
¿Cómo evitar ser atacados?
El primer paso es aislar por completo los entornos VMWARE desde la red, además de evitar exponer túneles SSH.
También se recomienda no exponer los equipos del personal, usando herramientas para detección automática de comportamientos como las que IBM ha presentado recientemente usando IA.
Si eres alguien encargado de seguridad de una compañia de software con entornos VMWARE, puedes contactarnos en FIIXCOM donde con gusto y con apoyo de nuestro partner IBM podrémos diseñar una barrera de seguridad que pueda ayudarte a mantener segura tu empresa.
Fuente: LinkedIN de Francisco Valencia
