En medio de su investigación interna para dar con el origen del ataque cibernético en su contra y sus responsables, EPM señaló que este virus tipo ransomware salió desde el servidor interno de la compañía llamado Consorcio 20.
Además, indicó que el impactó se dio con la pérdida de control de la plataforma, información de la empresa que quedó encriptada, afectación del Data Center alterna, perdida de respaldos, contagio del 25% de la infraestructura y pérdida de información que aún no ha sido calculada.
En medio de un rastreo, Blu Radio conoció la nota que enviaron los hackers a la compañía en la que le dicen que “archivos importantes de su red fueron encriptados y ahora tienen la extensión 8upt97g, para recuperar sus archivos deben seguir estas instrucciones”.
Publicidad
Dentro de la especificación de archivos que dicen tener los hackers y amenazan con publicar, hay datos personales de los empleados, un mapa de la red completo que incluye credenciales para servicios remotos y locales, información financiera privada con información de clientes, cuentas, pagos, reportes anuales y estados bancarios y más.
Publicidad
En la nota, los hackers advierten a la compañía para que no modifiquen los archivos ni usen programas para restaurarlos, pues estas acciones podrían dañarlos y EPM los perdería permanentemente.
Finalmente, indican a la empresa de servicios públicos que descarguen un buscador que se usa para navegar en la Deep web e ingresen a un link en particular para seguir más instrucciones.
Además de la nota de rescate, Blu Radio tuvo acceso a la alerta que se encendió en la empresa CronUp Ciberseguridad, encargada de rastrear amenazas de ciberataques para diferentes empresas en América Latina y hablamos con Germán Fernández, director de Cyber Threat Intelligence, la persona que precisamente vio la alerta del ataque a EPM.
Publicidad
Interesting new sample of #ExMatter, exfiltration tool used by BlackCat aka ALPHV #ransomware (https://t.co/0fTs4XGUKQ)
— Germán Fernández (@1ZRR4H) December 16, 2022
The sample was uploaded from Colombia 🇨🇴 and the exfiltration server was exposed for a few hours revealing some stolen files 😵
▪ https://t.co/HvMlsLCp6a pic.twitter.com/lxYumzhTLT
El experto en temas de cyberinteligencia explicó cómo funcionan el tipo de ataques que provocó la crisis en EPM: “Esta herramienta la utilizan los operadores del ransomware black cat y la utilizan para exfiltrar o robar la información de las empresas internas, subirla a un servidor que controlan, después de eso viene la etapa de encriptar, cuando ya encriptan la información en la red de EPM”, dijo.
Publicidad
Lo más preocupante, según Germán, es que tras rastrear mejor la amenaza, desde la empresa que funciona en Chile, se dieron cuenta que el servidor en el que alojaron la información de EPM fue creado el 10 de diciembre y entre ese día y el 14 de diciembre, cuando se conoció públicamente el ataque, la información que los hackers estuvieron copiando de la empresa, estuvo en línea durante algún tiempo.
“Lo que hacen es subir la información de cada una de las máquinas a las que tuvieron acceso en EPM. Vas a ver que dice EPM-att100, ese nombre corresponde a una máquina interna de EPM y si haces click en esa carpeta, seguramente dentro de ella vas a ver información de EPM antes del impacto final”, puntualizó Germán Fernández.
Además, según la experiencia y el conocimiento que tienen en CronUp Ciberseguridad con casos similares, Germán Fernández explicó que los rescates por este tipo de ataques pueden ir desde los 500 mil hasta los 5 millones de dólares, pagados en criptomonedas.
“Yo creo que incluso podría llegar al millón de dólares en criptomonedas. Se han visto solicitudes de rescate hasta de 5 millones de dólares, yo he visto”, detalló.
Publicidad
Por el momento, la investigación está en manos de la Fiscalía y ni el ente acusador ni EPM se han pronunciado con relación a esta información.
Escuche la noticia en Meridiano Blu
Publicidad