BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

Euskaltel y R extorsionadas tras el robo de 3,1TB de información interna con el ransomware LockBit 3.0

Joshua Llorach
Euskaltel R Leaked Data LockBit 3.0

Los rumores que señalaban que Euskaltel y R estaban sufriendo un ataque de ramsomware en el que se había comprometido el acceso a sus sistemas e impedido en los últimos días que el servicio de atención al cliente funcionase con normalidad parecen confirmarse.

El Grupo Euskaltel y sus marcas R y Telecable han arrastrado problemas en los últimos días que han afectado a los canales de atención al cliente a través de teléfono, web y app. Los centros de atención al cliente han estado inoperativos ante la imposibilidad de los empleados de acceder a los sistemas informáticos donde se gestionan los servicios, lo que ha impedido tramitar incidencias o dar de alta nuevos abonados.

Desde la empresa, propiedad de MásMóvil, no han dado explicación, aunque los rumores de que la operadora estaba siendo afectada por un ataque de ransomware han sido constantes en foros y redes sociales. Los sistemas se restablecieron durante la jornada del domingo, sin embargo hoy hemos conocido1 algunas novedades en relación con este incidente que nos llegan desde la web oscura.

El blog de filtraciones del ransomware LockBit 3.0 Leaked Data alojado en la dark web ha publicado esta mañana a las 10:30 dos nuevas entradas dedicadas a Euskaltel y R, la cablera con la que opera en Galicia. En el comunicado aseguran que han accedido y copiado 3 TB de información procedentes de R y otros 100 GB pertenecientes a Euskaltel.

3 TB de datos descargados. Finanzas, documentos legales, clientes, empleados y más.

Además, de esta red se han descargado unos 100 gb de datos de euskaltel.com. Estos serán publicados en la siguiente publicación.

Datos filtrados
Algunas capturas de la información robada (pixelado añadido)

Junto con el texto se publican 10 capturas de pantalla para probar que efectivamente han tenido acceso a la información. Entre ellas encontramos acuerdos de confidencialidad entre R y otras empresas como Cisco para participar en el concurso público del Servicio de red de telecomunicaciones corporativa de la Xunta de Galicia, registros de la contabilidad interna, evolución del despliegue de fibra FTTH, estadísticas de productividad de los equipos comerciales, listados de nombres y DNI de clientes, listado de empleados con afiliación sindical y una fotografía de un pasaporte.

El blog muestra una cuenta atrás que señala que estos datos se divulgarán el próximo 5 de junio, en lo que parece un chantaje para apremiar a la operadora a que pague el precio fijado en el rescate.

Blog LockBit 3.0 Euskaltel
Entrada publicada en el blog de LockBit 3.0

LockBit 3.0 es la última versión del ransomware diseñado para extorsionar a todo tipo de organizaciones con el fin de conseguir el pago de sumas de dinero que se reparten entre los creadores del software y los individuos que han ayudado a que se ejecute el ataque. Una vez dentro del sistema se reproduce a través de la red cifrando y copiando todos los archivos con contenido de valor que encuentra a su paso. La empresa víctima es extorsionada exigiéndose un pago para recuperar el contenido original de los archivos e impedir que se difunda su contenido.

  1. twitter.com/elhackernet/status/1658095318150381569

💬 Comentarios

skgsergio
4

Otro caso de pasar hasta la cocina y ponerse un café… Datos de empleados, "clientes especiales", … a ver cuantos datos tienen de los clientes en general también…

🗨️ 6
P B Fierro
4

Si han pillado también datos de Telecable seguramente tengan ademas los de personas que fueron clientes anteriormente.

A mi me siguen llamando de Telecable con mi nombre y dirección después de mas de una década que dejé de ser cliente. Tienen la mala costumbre de no borrar los datos y eso cuando un día metan la pata y den con alguien de mala leche les va a salir caro.

🗨️ 4
Fern
1

Si una demanda

🗨️ 1
Weikis336
1

Donde la AGPD se pondrá las botas y el demandate no vera ni un €

Jav9i

Hay datos de Asturias en la captura, no me extrañaria.

Slm

R y Telecable hace años que son la misma empresa, así que imagino que muchas cosas estarán juntas.

Darkmexican
1

Parece que alguien abrio el mail de "hola soy … y quiero conocerte, te envío mis fotos" jajajajajaja

Fern
1

Lo que tiene que hacer Euskaltel y R no pagar y si filtran los datos ya se encargar la unidad de ciberdelitos de la policía nacional o la policía autónoma vasca de perseguirlos y detenerlos

🗨️ 6
PezDeRedes
1

Suelen operar desde países en los que hay poco o nada que hacer.

🗨️ 4
Fern

Aún así algo se podra hacer

🗨️ 3
PezDeRedes
1

Qué va, ni de coña. Además, el daño ya está hecho, este es otro caso igual que el del Clínico.

Contra estas cosas la única actuación válida es poner políticas de seguridad extremadamente estrictas y evitar que ocurran, porque, una vez han ocurrido, ya no hay remedio.

P B Fierro
1

Si están por ejemplo en Rusia, igual les dan hasta una medalla…

el-brujo
5

Hay muchas dudas respecto del origen y nacionalidad de algunos grupos de ransomware, pero en este caso, si se puede asegurar casi con total certeza, que LockBit es de origen ruso.

Ni el FBI puede detener las filtraciones en el blog de LockBi, pues la policía autonómica (con algo menos de presupuesto y recursos) no creo

que los vaya a detener. Esta gente no son aficionados, no cometen errores en una incursión.

Como los Mossos con el famoso ataque DDoS a RansomHouse (autores del hackeo al Hospital Clínic de Barcelona), no lograron nada. Bloquear unas horas la web de filtraciones y que los atacantes publicaran más información.

En los últimos años, con un auge imparable del ransomware, apenas se han producido detenciones importantes contra miembros de grupos de ransomware.

Por ejemplo, el grupo de ransomware Conti ha tenido casi 500 personas involucradas, durante los últimos dos años y 81 trabajadores en "nómina", con un salario promedio de 1.800$ por mes por trabajador.

Bilbokoa
4

No hay que pagar, NUNCA. Que publiquen lo que quieran. Antes o después, como ya ha ocurrido antes, la policía dará con esta gentuza.

Pero no hay que pagar, NUNCA.

🗨️ 3
Fern

Efectivamente

Aokromes
1

es inconstitucional extraditar a un ciudadano ruso, buena suerte para detenerlo en rusia.

el-brujo
3

Las detenciones de operadores de ransomware sólo se producen fuera de Rusia, por ejemplo en Ucrania. El resto está a salvo. Y muchas empresas por desgracia acaban pagando, por ejemplo en Estados Unidos muchas pagan porque lo cubre el seguro.

Fern

Por cierto no es ni medio normal lo que ha pasado Euskaltel esto demuestra la seriedad que tienen y como de seguro tienen los datos de sus clientes desde luego de vergüenza

🗨️ 3
pjpmosteiro

Euskaltel no. R.

La intrusión fue en R.

Sacaron info de Euskaltel por la interconexión de sistemas, pero la incursión fue en mundo-r.com

🗨️ 2
Jav9i

Los sistemas de R estaban siendo integrados en Euskaltel.

Euskaltel esta siendo integrada en MásMóvil poco a poco.

Habrá que ver como evoluciona la cosa.

leira

Muchos de los programas que usa R pasaron a servidores de Euskaltel cuando se fusionaron. Que pasa, muchos de esos programas no son actualizados desde hace años

License2Harm
1

Menos mal que estas cosas no pasan en las empresas privadas.

🗨️ 7
Jav9i

No se si es sarcasmo o no, pero Euskaltel precisamente publica no es.

Sabiendo como tienen montada alguna cosa, lo que me sorprende es que hayan tardado tanto en entrar.

🗨️ 2
License2Harm

No se si es sarcasmo o no

No pensaba que fuese necesario decirlo, pero sí, es sarcasmo. Sé que Euskaltel no es pública, al igual que no lo es Yoigo, ni O2,… y muchas más que no recuerdo y que han sufrido robos de datos de importancia

🗨️ 1
Jav9i

Euskaltel tiene un pasado interesante…

PezDeRedes

Esperemos a ver las acciones que toma la AEPD ante este incidente, y las que toma ante el del Clínico de Barcelona. Luego, valoraremos.

🗨️ 3
License2Harm

Lo que haga la AEPD no es el quid de la cuestión

🗨️ 2
PezDeRedes

En mi caso, sí. Mi debate estaba ahí, en si habría multas y las mismas consecuencias en el Clínico que si fuese en una empresa privada. Let's see.

🗨️ 1
License2Harm
1

En mi caso, sí. Mi debate estaba ahí, en si habría multas y las mismas consecuencias en el Clínico que si fuese en una empresa privada. Let's see.

No te vas a enterar de ninguna medida disciplinaria ni en el Clinic ni en ninguna empresa privada. Esa información no trascenderá y por lo tanto "no lo verás"

Por otro lado, la AEPD no despide ni ordena despedir a nadie. Solo puede sancionar o apercibir.

Ossian
3

Ah bueno, pues si tienen datos de clientes antiguos puedo esperar tranquilo a mi ración de spam desde Junio

🗨️ 7
Mick Diaz
1

+1

Vamos. El incremento de llamadas de captación con mi nombre completo y correos recibidos que van muy dirigidos tras los últimos ataques es notable.

La verdad es que es una p*tada para las compañías, cada vez que veo una noticia de estas, lo primero que hago es negar con la cabeza imaginándome a todo el mundo sudando en frío y corriendo de un lado a otro.

No me gustaría estar en su piel, les acompaño en el sentimiento porque desde luego que no es plato de gusto.

Elchavalociosu

3, 2, 1, … a ver lo que tardan en llamarme desde un numero del Reino Unido alguien con un acento, cuando menos, peculiar

Ossian

No se si ya habran vendido datos, ya he recibido hoy llamada que se le ha colado a hiya, joder, para un puto dia que iba a echarme una siesta

Elchavalociosu

Joer, pues dicho y hecho. NO sé si sería casualidad pero a la media hora llamadita desde el +39 328 302 4440

🗨️ 2
Jav9i

Aún no han soltado los datos, dudo mucho que la llamada hubiera tenido algo que ver con está filtración.

Fern

No sería la típica llamada del timo servicio técnico de Microsoft

Darkmexican
1

Aquí lo importante es conocer si tienen un departamento de Ciberseguridad y a cuantos van a despedir por no tener su sistema bien securizado, es decir si al cliente le cobran un dineral por un servicio y ponen en riesgo los datos, datos sensibles, deberían de hacer limpia y contratar gente mejor preparada, pero vamos que ocurre aquí y ocurre en muchas TELCO, tener departamentos llenos de gente que se toca lo que viene siendo…, eso si a final de mes a llevárselo muerto.

aparte, estas empresas suelen tener departamentos externalizados en el mismo o en otros países que tienen que cumplir con unas normas de seguridad, incluso físicamente también deben cumplir unos requisitos de seguridad. Es decir si el estado no pone orden en esto y pone multas cuantiosas, esto seguirá ocurriendo.

Lo dicho, yo lo primero metería una empresa externa que hiciera el forense, segundo si a sido culpa de un agujero de seguridad, despidos y mas despidos y si a sido una empresa colaboradora, fuera y a contratar a otra y el Estado debería ponerse las pilas y meter multas pero cuantiosas.

Tenemos todo un ministerio de proteccion de datos si no sirve que lo eliminen.

lhacc
-2

A mí me parece más lógico que paguen. Si cuando la cagan y se saltan una ley pagan una multa al Estado, cuando la cagan y exponen datos también pueden pagar una multa a los rusos.

🗨️ 8
PezDeRedes
2

Madre de Dios… ¿estás comparando una multa con pagar a criminales, financiando el siguiente ataque (que podría ser también a ti)?

Últimamente estás que te sales.

🗨️ 4
lhacc
-2

A mí me parece la medida perfecta para todos: ganan los rusos, que ven recompensado su esfuerzo (hacer esto no es tarea fácil), gana la operadora, que se quita de en medio un problemón, y ganan los usuarios, que no ven sus datos publicados.

Por cierto, no me hables de criminales… Te recuerdo que Hacienda pierde el 51% de los juicios en los que se mete.

🗨️ 3
Ossian

Porque pagan pluses por expediente aunque luego estos queden en nada, fomentando que se abran en falso y atascando todavia mas la burocracia, simplemente España. De hacienda hay tantas cosas que me provocan querer ser hank scorpio con el lanzallamas…xD

PezDeRedes

y ganan los usuarios, que no ven sus datos publicados.

¿Y qué garantías tienes de que eso es así? ¿Por qué te fías de la palabra de esta gente?

Por cierto, no me hables de criminales… Te recuerdo que Hacienda pierde el 51% de los juicios en los que se mete.

No seré yo quién defienda a hacienda. Pero no me hagas comparaciones sin sentido.

🗨️ 1
lhacc

Son un "negocio" serio, se dedican a esto de forma profesional y si se corriera la voz de que no cumplen sería un problema para ellos. Si hubiesen sido unos cualquiera no habría propuesto esto.

Fern

Pero que dices Ihacc

🗨️ 1
P B Fierro
1

Parece mentira que no le conozcáis, a veces le sale una vena provocadora jeje

Polimero Obsoleto0v

Trabajo en R. Y os puedo decir que los sistemas de seguridad son una completa chirigota. Ya tardaba.

🗨️ 4
pjpmosteiro
1

Trabajé en R. En Pocomaco. No son una completa chirigota. Eran bastante buenos. Pero obsoletos.

Y los de Lockbit pillaron el mejor momento para crackearles, en medio de una migración hacia Euskaltel.

R no es santo de mi devoción, pero todavía tengo amigos trabajando allí y tampoco es plan de dejarles por los suelos.

🗨️ 3
LenovoGZ
1

El problema es que está todo externalizado , no es lógico que haya no se cuantas empresas subcontratadas con acceso a red (Plexus , NTT ,Indra y un largo etc .

Veo a R más segura en los años 2000 donde el grupo era más pequeño y se controlaba todo mejor que no ahora , donde sí es verdad que un ataque ahora mismo no es como el que podría pasar hace 20 años,pero al menos centraliza todo mejor y no externalices todo como por ejemplo :

nivel 1 lo lleva la empresa A , nivel 2 la empresa B y asi tienes 3000 puntos donde te la pueden colar , siempre lo dije y el tema de ciberseguridad tiene que ser el principal servicio de una empresa y más siendo un ISP y si tienes que dedicar un % alto de dinero anual en ese departamento es lo que hay.

Sí están con migraciones ,pero ahí es cuando tienes que dedicar recursos pq ya sonaba que podía pasarte cuando hace unas semanas le pasó a Digi y hace unos años a Telefónica.

🗨️ 2
pjpmosteiro

Si, es lo que tu dices, no es normal que TV lo llevase A, telefono e internet B y móvil C. Cuando empezó lo de MobilR ya se empezó a externalizar en la antigua Tecnocom y compañía. Que si, R llevaba con personal propio el core de red y los datacenters, pero ya se vió cuando Vodafone les "trolleo" en la migración o la famosa caída de navidad de toda la red su capacidad de respuesta.

Hasta eso de 2015-2017 el 1449 por ejemplo era impecable, lo mejor de lo mejor en atención al cliente. Los técnicos teníamos procedimientos fijos, y casi todo iba sobre ruedas. Que a un cliente le iba lento el internet? Hablábamos redes y compañia que estábamos todos bajo el paraguas de la misma empresa, R, y practicamente podiamos darle una solución en la misma llamada. Cliente contento, una incidencia menos y solucionado.

Ahora, Movil lo lleva A, Fijo (lo que queda) e Internet lo lleva R junto a Zte y Euskaltel, TV lo lleva AgileTV…

Joer, hay todavía servicios que van bajo la web primitiva de clientes. Software como el wisky o el espantallo no se actualizan desde hace la de dios…

Mucho han tardado en reventarles.

Por cierto, filtración de datos, estamos a martes y sin comunicar a clientes ni pedir cambios de password.

🗨️ 1
Fern

a saber que datos han logrado conseguir los ciberdelincuentes

radorn

Pues yo era cliente de R hace 2 años, así que tendrán mi DNI, nombre, dirección y cuenta bancaria…

Al menos no me podrán espamear electrónicamente, porque el teléfono que tenía con ellos no lo tengo ya, y el correo-e que tenían era de mundo-r también, y ya no lo tengo, así que eso que me ahorro.

🗨️ 1
Icecube
1

El DNI "numeración"por si solo no es un problema, el problema es como se aprecia en la captura un escaneo en color del mismo.

La legislación española lo deja bien claro, solo se debe de solicitar una copia en casos muy estrictos cuando sea totalmente indispensable. La realidad es que hoy te piden una copia del dni para cualquier tontería y luego vienen los robos de identidad, cuentas falsas, etc… esto se solucionaba facilitando las firmas digitales de los documentos.

Icecube

NO PAGAR, si nadie lo hiciese se les terminaba el negocio.

Ya podían dedicarse a robar los datos de las cuentas de las Islas Caiman, Panamá, Suiza … pero se ve que sus amos no les dejan … a saber el porqué.