Un ataque a Phone House roba miles de datos bancarios

Un nuevo ataque informático de ransomware ha sido perpetrado, por el grupo Babuk, contra Phone House el minorista de venta de dispositivos móviles, y ante la negativa de la empresa a pagar el rescate, los datos de 13 millones de clientes se han hecho públicos en la Darkweb

Phone House es una empresa que se dedica a vender, por medio de tiendas minoristas extendidas por toda Europa, teléfonos y dispositivos móviles.

Un reciente ataque de ransomware – esto es, secuestro de servidores de red de la compañía esperando un rescate – ha revelado miles de datos bancarios de sus clientes entre los que se encuentran DNI, números de cuentas bancarias, correos electrónicos y direcciones postales.

Los atacantes, que se han identificado como grupo Babuk, al no recibir el pago de la compañía que preside Charles Dunstone, ha «liberado» en la Darkweb 100 GB de información personal de los clientes.

Todo tipo de datos

Entre los datos que han sido revelados por los ciberdelincuentes, de trece millones de clientes encontramos de todo: nombres, DNI, cuentas bancarias, teléfonos, correos electrónicos, direcciones postales y hasta lugar de trabajo.

El robo de datos se ha circunscrito exclusivamente a clientes españoles, y no los de otras nacionalidades, aunque Phone House tiene distribuidas por todos los países de la Unión Europea más de 1.700 tiendas.

Un chantaje progresivo

En un primer momento, y para demostrar que «no iban de farol» hicieron públicos en internet los datos de cinco millones de clientes, poniéndose posteriormente en contacto con Phone House exigiendo un rescate.

La liberación de los datos de los trece millones de clientes se ha producido, aparentemente, después de que Phone House se negara en rotundo a pagar el rescate por esos datos de clientes españoles.

Desde entidades expertas en seguridad informática se recomienda, en este caso como en otros muchos, cambiar las claves tanto de acceso a servicios como el acceso por internet a nuestros bancos.

Una vez que ese tipo de datos, como los filtrados por el grupo Babuk, son de dominio público el principal problema tiene que ver con intentos de suplantación de identidad, lo que en jerga informática se conoce como phishing.

¿Y ahora qué?

Se espera, así obliga la normativa española, que Phone House se ponga en contacto con los clientes cuyos datos han sido vulnerados, aunque todavía la compañía no ha publicado en sus redes sociales que ha sido objeto de un robo de datos.

Con la normativa española «en la mano», si el robo de datos se ha producido por una mala praxis de seguridad informática de Phone House, los clientes tendrían derecho a cobrar una indemnización por daños y perjuicios.

Unos viejos conocidos

El grupo Babuk es bien conocido por las organizaciones que se dedican a luchar contra la ciberdelincuencia, caso del INCIBE español.

Utilizando técnicas de ransomware, el grupo Babuk se ha cobrado en lo que llevamos de 2021 cinco «piezas» de gran tamaño, nos referimos a cinco grandes empresas.

En una de esas ocasiones, al menos que se sepa, los ciberdelincuentes lograron un rescate de 85.000 dólares por los datos que habían robado.

Los ciberataques del grupo se centran, al menos que se sepa, en los sectores del transporte, la sanidad, la fabricación de plásticos, la electrónica y la agricultura, llevando a cabo ataques en los cinco continentes.

Un tipo de ataques que van a más

Los ataques de ransomware, para entendernos, el robo de datos a través de internet donde posteriormente se pide un rescate por no filtrar los mismos, lleva aumentado exponencialmente desde el 2019.

Uno de los más cercanos y dañinos ha tenido como víctima al Servicio de Empleo Pública Estatal, el SEPE, que provocó un desbarajuste que todavía no se ha logrado solucionar por entero.

Los expertos siempre recomiendan no pagar el rescate, bien porque después de la primera petición de dinero pueden venir más y porque finalmente esos datos siempre se acaban haciendo públicos.

Hasta a clientes particulares

Específicamente a aquellos que utilizan tecnología NAS para almacenar sus datos. Para los neófitos conviene explicar que NAS son dispositivos de almacenamiento de datos que se colocan en una red, normalmente LAN.

En este caso el ataque se está llevando a cabo con personas y/o empresas que utilizan sistemas NAS de la marca QNAP, y en este caso el ransomware ha sido bautizado como Qlocker.

Como suele ser habitual en estos casos, el «rescate» remite a un enlace a la Darkweb para efectuar un pago en Bitcoins, en unos ataques que se han comenzado a reportar a partir del pasado 19 de abril.

La operativa de Qlocker es cifrar los archivos del NAS en formato 7-zip cifrados; dicha operativa la puede realizar porque NAS tiene una vulnerabilidad que los ciberdelincuentes han logrado explotar.

Los delincuentes están pidiendo un rescate de 500 euros por cada sistema NAS cuyos archivos han cifrado, advierten, con una clave única.

QNAP informa a sus clientes

La multinacional surcoreana ha informado que los ciberdelincuentes están explotando una vulnerabilidad que han bautizado como VE-2020-36195.

La solución, tal como explican desde QNAP, consistiría en actualizar varios componentes de NAS como el QTS y la consola multimedia.

Del mismo modo, también recomiendan actualizar todo el software de NAS, especialmente la herramienta Malware Remover.

En caso de que algún usuario tenga conciencia de que su NAS está infectado por ransomware, desde la compañía surcoreana no recomiendan ni apagarlo ni reiniciarlo, sino simplemente ejecutar Malware Remover.

eCh0raix, otro enemigo más

También conocido como QNAPCrypt, el objetivo de este virus es únicamente servidores NAS, específicamente aquellos que fabrica la surcoreana QNAP.

Programado en Go, utiliza «fuerza bruta» para conectarse a los servidores NAS, para posteriormente actuar como cualquier ransomware, esto es, cifrar los archivos y pedir un rescate.

QNAPCrypt utiliza exploits y ataca específicamente a los siguientes modelos NAS de QNAP: QNAP TS-251, QNAP TS-451, QNAP TS-459 Pro II y QNAP TS 253B.

Una vez infectado, el virus informático utiliza una clave única de tipo AES-256 para cifrar todos los archivos que se encuentren en el dispositivo de almacenamiento, borrando los archivos originales.

Fuente – el diario / Phone House en Wikipedia / xataka / QNAP / redes zone

Imagen – Phone House / Epic Top / Andreas Trojak / Wonder Ferret / Richard Patterson / Chris Yarzab / Andrew Currie / Mike G. / Wapster

Publicado por Gonzalo Sánchez del Pozo

Sobre todo apasionado: de las letras, de los paisajes, de los lugares insondables, de las historias, de los personajes, de las situaciones, de los mares, de las montañas. Nómada, como cantaba Franco Batiatto, "que busca los ángulos de la tranquilidad, en las nieblas del norte, en los tumultos civilizados, entre los claros oscuros y la monotonía de los días que pasan".

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: