A Telecom Argentina, que com a Telefónica divide o mercado de telecomunicações na Argentina, sofreu na tarde de sábado um ataque de ransomware. O incidente atingiu os sistemas expostos na internet, o que prejudicou especialmente o atendimento aos clientes. Pesquisadores de segurança e fontes ligadas à empresa disseram que os atacantes pediram uma soma da ordem de US$ 7,5 milhões para fornecer a chave de decodificação. No entanto, o ataque foi contido e os cinco sites atingidos já estão operando normalmente.
Apesar disso, o pesquisador argentino Cristian Borghello informou que foram criptografados perto de 18 mil PCs. Segundo comunicado da Telecom publicado ontem, o ataque atingiu apenas as áreas internas, de modo que nenhum usuário de telefonia celular do serviço Personal, ou de Internet (serviço Fibertel) foi afetado. Desde a última quinta-feira, dia 16 de julho, os funcionários já estavam se queixando de anomalias na operação dos sistemas.
Borghello disse que a Telecom Argentina não havia emitido qualquer comunicado sobre o assunto, deixando assim de informar inclusive aos usuários corporativos. De todo modo, segundo ele, até a manhã de ontem não havia registros de problemas com clientes corporativos. Os problemas ocorreram segundo ele na VPN corporativa, como também em sistemas Citrix, Siebel, Genesys, em máquinas virtuais do Customer y Field Service e nos PCs de usuários internos. Isso impediu que os clientes acessassem serviços online da empresa.
Várias fontes indicaram que o ransomware seria o REvil (conhecido também como Sodinokibi), localizado pela primeira vez em abril de 2019. Esse ransomware é operado por um grupo conhecido como Gold Southfield. Ele distribui o ransomware através de exploitkits, técnicas de exploração e servidores RDP expostos.
O ataque faria parte de uma campanha do grupo que atingiu também a operadora de telecom francesa Orange. A empresa confirmou na semana passada que sofreu um ataque de ransomware, que foram expostos os dados de vinte de seus clientes comerciais. A Orange oferece serviços de comunicação ao consumidor e serviços para empresas. Tem 266 milhões de clientes e 148.000 funcionários, sendo a quarta maior operadora de celular da Europa.
O ataque na “Orange Business Services” aconteceu na noite de sábado, 4 de julho de 2020. Na semana passada, no dia 15 de julho, os operadores do ransomware Nefilim adicionaram a Orange ao site no qual publicam vazamentos de dados e declararam que haviam violado a empresa por meio de sua divisão “Orange Business Solutions”. Esse ataque permitiu aos operadores da Nefilim obter acesso aos dados de 20 clientes Orange Pro / SME. Como parte do vazamento, os operadores do ransomware publicaram um arquivo de 339 MB intitulado ‘Orange_leak_part1.rar’ contendo dados que supostamente foram roubados da Orange durante o ataque.
Com agências internacionais