El 18 de Julio comenzó a circular por Twitter información que apuntaba que Telecom Argentina había sido víctima de un ataque de tipo Ransomware. Aparentemente las publicaciones provenían de empleados con conocimiento de dicha situación.
Los criminales exigían unos USD 7,5 millones en Monero. Dicha cantidad aumentaría a unos USD 15 millones luego de 48 horas.
El malware utilizado fue una variación de REvil, que fue identificado por primera vez en Abril de 2019. La empresa sostiene que una firma especial tuvo que ser elaborada para prevenir futuros ataques.
Impacto
Lo ocurrido puede reconstruirse con la información aportada por los empleados y el comunicado publicado por la empresa el 20 de Julio.
El ataque podría haber pasado desapercibido de no haberse filtrado lo sucedido. Hasta donde se ha podido observar no había afectado a ningún usuario ni a los servicios de telefonía e Internet.
A pesar de que las redes se mantuvieron sin problemas varias computadoras con Windows, según la empresa solo un 5%, fueron afectadas.
Telecom ha señalado que ni las bases de datos ni los clientes corporativos fueron alcanzados.
Medidas
El ataque fue detectado, se bloqueó entonces el acceso a Internet y las computadoras afectadas fueron aisladas.
Durante las horas que siguieron al ataque se minimizaron los accesos a la red para evitar la propagación de cualquier tipo de amenaza. También se hicieron varias recomendaciones a los empleados de la empresa.
Los equipos de seguridad detectaron los archivos encargados de la encripción y los analizaron. Luego de haber identificado la amenaza se comenzó a trabajar en su eliminación y se desplegaron medida de detección y protección específicas.
Luego de que el ataque se consideró contenido se comenzaron a restablecer lo servicios de atención al cliente y otras operatorias.
La información oficial de Telecom sobre el ciber ataque del fin de semana pic.twitter.com/a5iqejOoJH
— Enrique Carrier (@enriquecarrier) July 20, 2020
Un fin de semana complicado
Todo lo descrito ocurrió entre le mediodía del sábado y la madrugada del domingo. Aún durante una buena parte del Domingo, según algunos empleados, los sistemas seguían sin funcionar. Aunque lo más probable es que esto fuera por las restricciones preventivas tomadas por la empresa.
