La empresa de seguridad Prosegur, una multinacional con presencia en varios países incluída la Argentina, lanzó un comunicado recientemente en el que confirma que ha sido víctima de un incidente de seguridad informática que afectó a sus plataformas de telecomunicaciones.
Si bien la compañía explicó que “restringió las comunicaciones con sus clientes para evitar la posibilidad de propagación”, agrego que “se activaron los protocolos de seguridad y están trabajando para evitar la afectación en sus servicios”.
Prosegur está presente en más de 15 países y esta situación habría afectado a la compañía a nivel mundial.
¿Qué pasó?
La compañía confirmó que fue víctima de una infección por parte de un reconocido malware llamado Ryuk. El malware es de la misma familia que el que infectó hace unas semanas Cadena SER y la consultora Everis en España.
Según se estima, gracias a estudios forenses sobre otras operaciones de este malware, logró infectarse a través de un correo de phishing (es decir, de engaño). Este virus informático está gestionado por un conocido grupo de hackers rusos llamado Wizard Spider y que tiene un grupo operativo llamado Grim Spider. Dicho grupo había logrado amasar 3,7 millones de dólares en forma de bitcoin gracias a este tipo de actividad.
Según análisis de la firma CrowdStrike este software actúa un ransomware que realiza un estudio previo de la red que acabará siendo víctima del ataque para luego activarse. Eso provoca el cifrado de ficheros usando RSA-2048 y AES-256 (algortimos de cifrado) con claves que se almacenan en el ejecutable, y el bloqueo afecta a ficheros, sistemas de almacenamiento (con llamadas como GetLogicalDrives) y máquinas remotas conectadas a la víctima (a través del protocolo ARP) y que acaban contagiándose con este malware.
“Al igual que Samas y BitPaymer, Ryuk se utiliza específicamente para entornos empresariales“, explicaron los expertos de la empresa.