Centrais Eletricas Brasileiras (Eletrobras) y Companhia Paranaense de Energia (Copel), dos importantes empresas de servicios eléctricos de Brasil, han anunciado que han sufrido ataques de ransomware la semana pasada.

Controlados por el estado, ambos son actores clave en el país. Copel es la más grande del estado de Paraná, mientras que Eletrobras es la empresa de servicios energéticos más grande de América Latina y también es propietaria de Eletronuclear, filial dedicada a la construcción y operación de centrales nucleares.

Ambos ataques de ransomware interrumpieron las operaciones y obligaron a las empresas a suspender algunos de sus sistemas, al menos temporalmente.

Caso Eletrobras

En el caso de Eletrobras, el incidente tuvo lugar en su subsidiaria Eletronuclear y fue catalogado como un ataque de ransomware. Afectó a algunos de los servidores de la red administrativa y no tuvo impacto en las operaciones de las centrales nucleares Angra 1 y Angra 2.

La operación de las dos plantas se encuentra desconectada de la red administrativa, por obvias razones de seguridad, por lo que el suministro de energía eléctrica al Sistema Interconectado Nacional se ha mantenido sin cambios, dice la empresa.

Tras detectar el ataque, Eletronuclear suspendió algunos de sus sistemas para proteger la integridad de la red. Junto con el equipo de Managed Security Services, la empresa aisló el malware y limitó los efectos del ataque.

La notificación es escasa con detalles y no aclara si el ataque también actúa como una violación de datos, ya que es común que los operadores de ransomware roben datos de la red de la víctima antes de implementar la rutina de cifrado.

Una filial de energía nuclear de la brasileña Eletrobras sufrió un ciberataque, pero ninguna operación se vio afectada, dijo el holding eléctrico estatal en un documento a última hora del miércoles. La red que fue atacada por ransomware no está relacionada con los sistemas operativos de las plantas de energía nuclear Angra 1 y Angra 2, dijo Centrais Eletricas Brasileiras, como se conoce formalmente a Eletrobras.

La subsidiaria Eletronuclear suspendió el uso de parte de su software administrativo para proteger sus datos, dijo la compañía en la presentación. Dijo que el incidente está siendo investigado por entidades gubernamentales responsables de la seguridad de la energía nuclear.

Caso Copel

En el caso de Copel, el ataque es obra de la banda de ransomware Darkside, que afirma haber robado más de 1.000 GB de datos y que el caché incluye información confidencial sobre el acceso a la infraestructura y datos personales de la alta dirección y los clientes. Ademas, contienen mapas de red, esquemas y horarios de respaldo, zonas de dominio para el sitio principal de Copel y el dominio de la intranet. Según los delincuentes informáticos, obtuvieron acceso a la solución CyberArk de la compañía para la administración de acceso privilegiado y contraseñas de texto sin cifrar extraídas de la infraestructura local e Internet de Copel.

También afirman haber exfiltrado la base de datos que almacena datos de Active Directory (AD): el archivo NTDS.dit, que incluye información sobre objetos de usuario, grupos, pertenencia a grupos y hashes de contraseña para todos los usuarios del dominio.



Aunque la base de datos de AD no tiene contraseñas de texto sin formato, existen herramientas que podrían descifrar hashes sin conexión o usarlos en los llamados ataques pass-the-hash, donde funcionan como la propia contraseña.

A diferencia de otros operadores de ransomware, Darkside no proporciona datos robados en su sitio. En cambio, establecieron un sistema de almacenamiento distribuido para albergarlo durante seis meses.

Fuente: DiarioInforme