📰 Artículos

El ransomware REvil/Sodinokibi consigue acceso a servidores de MásMóvil

Joshua Llorach 1 julio 2021 09:48 ✎

⋮

MásMóvil está siendo chantajeada por un ransomware que amenaza con publicar la información robada a la empresa mediante el acceso ilegal a sus servidores. En las capturas publicadas para presionar a la empresa se aprecian datos de gestión interna que no incluyen información personal de sus clientes.

El grupo REvil/Sodinokibi ha tenido acceso a servidores con bases de datos e información interna del Grupo MásMóvil. En el Happy Blog ubicado en la dark web donde el grupo de cibercriminales pública sus ataques para presionar a las empresas víctimas a ceder al chantaje, ha aparecido una nueva entrada en la que hacen referencia al Grupo MásMóvil en España. "Hemos descargado sus bases de datos y otros datos importantes" asegura el texto.

Para probarlo se publican una serie de capturas de pantalla tomadas en Windows donde pueden verse varios listados de archivos .mdf utilizados por Microsoft SQL Server. Otra captura muestra un listado de directorios con nombres como ADSL, Jazztel, clientesAEAT, OCU, Parlem Reseller o Scoring.

En una de ellas puede verse una de las bases de datos abiertas donde aparecen tablas sobre el pago de leads, o comisiones que se pagan a los colaboradores de la marca que referencian clientes y aparece abierto el resultado de una consulta donde pueden verse lo que parecen ser empresas desde donde se ha portado numeración fija, con nombres conocidos.

Parece evidente por los datos publicados que el grupo de cibercriminales ha obtenido acceso a parte de los servidores de la compañía, aunque a juzgar por las capturas publicadas se trata de datos de gestión interna que no incluirían datos personales de sus clientes particulares, algo que sería devastador para la imagen de la marca.

Desde MásMóvil le quitan seriedad al asunto confirmando el incidente pero asegurando que no hay robo de información ni ha afectado a la operativa de la compañía.

💬 Comentarios

BocaDePez 1 julio 2021 09:55

⋮

PuespintaQue si han accedido a datos personales por los nombres de las tablas que poneis. Ya me han jodido con robo de datos muchas empresas… Otra más. Resulta increíble la poca importancia que las grandes empresas dan a los datos. Impresentables

el-brujo 1 julio 2021 10:12

⋮

Algunas compañías suelen restar importancia a los ataques afirmando que no ha robado información confidencial. El Club de Fútbol Levante UD tuvo los santos cojones de decir que no habían robado información importante y después publicaron los contratos y nóminas de todos los jugadores del primer equipo de fútbol y empelados del club…

Es posible que no hayan accedido a información personal de los clientes, pero si el grupo REvil afirma que tiene Base de Datos e "datos importantes" de la compañía es que es así…

Solospam 1 julio 2021 10:19

⋮

Luego contratarán al FBI para que les localicen el pago en criptomonedas del rescate xD

✖

el-brujo 1 julio 2021 10:25

⋮

El grupo REVil sólo acepta pagos en Monero (XMR), no en Bitcoin. Los pagos en Monero son bastante más dificiles de rastrear. El FBI pudo interceptar el dinero del rescate de Colonial porque tenían la clave privada de la billetera…

✖

Solospam 1 julio 2021 11:32

⋮

Solo un apunte… donde hablé yo del bitcoin? o es que XMR no es una criptomoneda?

✖

el-brujo 1 julio 2021 11:48

⋮

En ningún momento. Simplemente, me refería al tema de "localizar el pago" por eso comenté las diferencias entre las dos criptomonedas. Me refería que en este caso y en muchos otros no es posible recuperar, ni rastrear los pagos.

✖

Solospam 1 julio 2021 12:12

⋮

se me olvidó el "ironic mode"… que pinta el FBI en España?

BocaDePez 1 julio 2021 11:13

⋮

A los monstruos no mirar y con chantajistas no negociar.

BocaDePez 1 julio 2021 11:16

⋮

En usos profesionales hay que usar herramientas profesionales, que son más caras sí, pero a la larga ahorras dinero.En informática, algunos siguen con la reducción de costes, así les va…

BocaDePez 1 julio 2021 13:26

⋮

Los admins ya van buscando el trabajo nuevo xD

sev44lora 1 julio 2021 13:27

⋮

Eso es por quitar los diamantes rococó, como dicen en el anuncio

✖

rbetancor 1 julio 2021 13:46

⋮

En tema es que en las tripas de MM nunca ha habido "diamantes rococó" … más bien sistemas agarrados con chinchetas y poco más.

BocaDePez 1 julio 2021 15:02

⋮

¿Cómo que nos han pirateado? ¡Si tenemos las webcams tapadas con celo!

– MásMóvil, 2021.

*(modo irónico, puede que no pasase 🤪)

sev44lora 1 julio 2021 15:15

⋮

MásMóvil, pirateados sin más

✖

Ikaro1968 2 julio 2021 07:22

⋮

Eres el azote de MM.

✖

sev44lora 2 julio 2021 15:04

⋮

A mi me gustaba mm en sus comienzos. Ahora solo piensa engordar el grupo MásMóvil, con operadoras de fibra y movil, para venderla al mejor postor

BocaDePez 1 julio 2021 18:07

⋮

Pues me alegro, me han fastidiado tanto con la baja y sus SMS amenazantes que cualquier cosa mala que les pasé se lo tienen merecido.

BocaDePez 2 julio 2021 01:00

⋮

Si las capturas de pantalla son de los extorsionadores, parece que se trata de un trabajo interno. La captura tiene el SQL Management Studio en español. ¿Puede ser algún/a admin que hayan puteado y se esté vengando? O que hayan conseguido acceso RDP al servidor y estén ejecutando desde dentro.

✖

el-brujo 2 julio 2021 12:13

⋮

Más bien lo segundo (RDP), el primer vector de ataque más utilizado por REvil en un 64% de casos es RDP (Escritorio Remoto)

Fuente:

coveware.com/sodinokibi-ransomware

rbetancor 2 julio 2021 13:43

⋮

¿Puede ser algún/a admin que hayan puteado y se esté vengando?

Por esa regla de tres, no quedaba empresa viva en este país.

hack 2 julio 2021 09:43

⋮

Incumplimiento de leyes por sistema.

Ya va siendo habitual que casi todas las empresas e instituciones públicas y privadas infringen algunas leyes que por un lado permiten la implementación de más seguridad y robusted del sistema y por el otro protege mejor los Datos Personales, al menos a nivel teórico. Ahora ponemos algunos ejemplos:

Desde hace muchos años cualquier administrador web de una empresa debe incorporar en su página un apartado con nombre de "aviso legal" o similar qué debe contener como mínimo:

a) Mención a la Ley de Servicios de la Sociedad de la Información (LSSI).

b) Ley vigente de Protección de Datos y los Derechos asociados.

En el caso de la web de está compañia solo cumple con la información de informar sobre los Derechos de los Datos Personales. Añadiendo además que la legislación vigente de Protección de Datos es de obligado cumplimiento desde hace más de 3 años. Entonces, cabe preguntarse ¿Si la página no cumple con las leyes actuales, lo hará en el mantenimiento del sistema y los contratos con los clientes? Así, ¿como garantizar la no cesión de Datos Personales a terceros sin el consentimiento expreso del interesado ? (Denominado cliente por parte de la empresa).

Por eso es recomendable :

a) Revisar todos los contratos y ejercer el Derecho de Oposición en la Cesión a terceros de Datos Personales.

b) Eliminar cualquier información que circule por la red que se haya publicado sin permiso. Ej: guías telefónicas con número de teléfono y dirección.

c) Escribir a las empresas para que actualizen sus páginas web y sistemas de control acorde a la normativa vigente, en especial a la Protección de Datos. Ello incluye la eliminación de la base de datos a personas que ya no son clientes, que han fallecido, que se han opuesto al tratamiento, etc

d) Pedir al administrador o proveedor de hosting la eliminación de cualquier página o enlace, en cualquier país, que se dedica a publicar Datos Personales de millones de personas como pueden ser las guías teléfonicas, procesos de oposición, datos de acceso en la universidad, etc Todo ello con el argumento legal que infringen la ley de Protección de Datos, perjudican a la intimidad y facilitan acciones no legales.

Un saludo.

P.D. Evidentemente la mayoría no harán caso a la primero pues llevan años infringieno las normas y leyes. Habrá que insistir o ser un grupo que lo haga períodicamente hasta que implementen los cambios para adaptarse a la actualidad.

Un saludo.