Una pandilla de ransomware piratea el banco privado más grande de Ecuador, el Ministerio de Finanzas

Un grupo de hackers llamado "Hotarus Corp" ha violado el Ministerio de Finanzas de Ecuador y el banco más grande del país, Banco Pichincha, donde afirman haber robado datos internos.

La banda de ransomware primero apuntó al Ministerio de Finanzas de Ecuador, el Ministerio de Economía y Finanzas de Ecuador, donde implementó una cepa de ransomware basada en PHP para cifrar un sitio que aloja un curso en línea.

Investigador de seguridad German Fernandez le dijo a BleepingComputer que los actores de amenazas están usando un ransomware PHP básico llamado Ronggolawe (o AwesomeWare) para cifrar el contenido del sitio.

Inmediatamente después del ataque, los actores de amenazas publicaron un archivo de texto que contenía 6.632 nombres de inicio de sesión y combinaciones de contraseñas en un foro de hackers.

La banda de ransomware le dijo a BleepingComputer que robaron "información confidencial del ministerio, correos electrónicos, información de empleados, contratos".

El siguiente objetivo fue el Banco Pichincha

Tras el ataque del Ministerio de Hacienda, Hotarus Corp hackeó el banco privado más grande de Ecuador, Banco Pichincha.

El banco confirmó el ataque en un Declaración oficial pero afirma que fue un socio de marketing comprometido y no sus sistemas internos.

Banco Pichincha continúa diciendo que los atacantes utilizaron la plataforma comprometida para enviar correos electrónicos de phishing a los clientes para intentar robar información sensible para realizar "transacciones ilegales".

El extracto bancario traducido completo se puede leer a continuación.

"Estamos comprometidos a proteger la privacidad de los datos de nuestros clientes. Sabemos que ha habido acceso no autorizado a los sistemas de un proveedor que brinda servicios de marketing para el programa Pichincha Miles. En relación con esta filtración de información y en base a una 'investigación exhaustiva , no hemos encontrado ningún daño o acceso a los sistemas del Banco y, por lo tanto, la seguridad de los recursos financieros de nuestros clientes no se ve comprometida.

Sabemos que, a través de un correo electrónico fraudulento, el atacante envía comunicaciones en nombre de Banco Pichincha a algunos clientes de dicho programa con el fin de obtener la información necesaria para realizar transacciones ilegítimas. Recordamos a nuestros clientes que nunca les pedimos datos sensibles como: usuarios, contraseñas, datos de tarjetas o cuentas, por teléfono, correo electrónico, red social o mensaje de texto.

Estamos tomando medidas para prevenir y mitigar este tipo de situaciones relacionadas con el tratamiento de datos por parte de nuestros proveedores. Entendemos y compartimos las preocupaciones de aquellos cuya información ha sido expuesta y ratificamos nuestro compromiso con su seguridad. "- Banco Pichincha

En una entrevista con BleepingComputer, el grupo de piratas informáticos cuestiona el estado de cuenta del banco y afirma que utilizó el ataque de la empresa de marketing como un trampolín hacia los sistemas internos del banco. Luego robaron los datos y utilizaron el ransomware para cifrar los dispositivos.

Mire el ataque al banco, inicialmente a una empresa que desarrolla aplicaciones web y marketing para el banco, luego de analizar códigos y datos nos dio la posibilidad de acceder a los sistemas internos del banco, fue allí donde usamos un ransomware , extrayendo toda la información posible ".

"Una vez dentro, encontramos vulnerabilidades en las vulnerabilidades de sus aplicaciones en los puertos ftp y rdp que nos ayudaron a aumentar los privilegios", dijeron los actores de amenazas a BleepingComputer.

A través de este ataque, el grupo de piratas informáticos afirma haber robado "31.636.026 millones de registros de clientes y 58.456 registros confidenciales del sistema", incluidos números de tarjetas de crédito.

Como prueba de su ataque, el grupo de piratas informáticos compartió varias imágenes de los datos presuntamente robados, incluida la siguiente carpeta de archivos.

BleepingComputer no pudo verificar las acusaciones de los actores de amenazas de que robaron datos del Ministerio de Finanzas o del Banco Pichincha.

En esto por el dinero

Los actores de la amenaza le dijeron a BleepingComputer que están llevando a cabo estos ataques únicamente por dinero.

Afirman que actualmente no están vendiendo los datos robados al Ministerio de Hacienda, sino que están vendiendo tarjetas de crédito que afirman haber robado del Banco Pichincha.

"Actualmente solo está a la venta información bancaria, ya hemos vendido alrededor de 37.000 tarjetas de crédito a un grupo dedicado a esto, la información inicialmente será subastada o vendida por 250.000", dijo un operador de Hotarus Corp a BleepingComputer.

Contactamos al Ministerio de Finanzas de Ecuador y al Banco Pichincha para obtener más información sobre los ataques, pero no hemos recibido respuesta por el momento.