Une banque au Mexique subit une autre attaque de ransomware, mais nie la violation de données

Faits marquants:

La banque a confirmé l’attaque des pirates, mais a déclaré qu’il s’agissait d’une tentative infructueuse.

Les pirates prétendent que s’ils ne sont pas contactés, ils publieront toutes les données volées.

La société de cybersécurité Cyble a averti que la banque mexicaine CIBanco aurait subi une nouvelle attaque de ransomware, après celle survenue en février de l’année dernière. Les pirates auraient saisi une quantité non divulguée de données confidentielles sur l’entreprise et les clients.

La firme de renseignement a publié un message attribué aux pirates qui ont menacé de divulguer les informations prétendument volées, s’ils ne sont pas contactés. En fait, certaines des données auraient déjà été divulguées.

Selon des informations préliminaires, les criminels du gang REvil ont utilisé le logiciel malveillant Sodinokibi ou Sodin pour l’attaque, alors que le déploiement aurait été exécuté entre le 3 et le 9 août. Il n’était pas clair quelles étaient les demandes des criminels pour renvoyer les informations. On ne sait pas s’ils ont demandé un paiement en bitcoin (BTC) ou en monero (XMR) comme cela s’est produit dans d’autres cas de ransomware.

La banque a confirmé qu’il y avait eu une attaque, mais que aucune information sur l’institution ou les clients n’a été compromise. Salvador Arroyo, PDG de CIBanco, a informé les médias locaux qu’ils ne savaient pas si les documents déjà divulgués provenaient de la banque ou s’il s’agissait d’images pour extorquer de l’argent à l’institution.

«Nous ne savons pas s’ils ont des informations ou seulement des photos de certains écrans. Une tentative d’attaque contre notre infrastructure a été détectée la semaine dernière; cependant, nos protocoles de sécurité l’ont détecté et les mesures de sécurité appropriées ont été immédiatement appliquées », a déclaré Arroyo, cité par El Economista.

L’exécutif a souligné que les assaillants n’avaient pas établi de contacts avec eux pour exiger le paiement d’une rançon. Leur position contraste avec celle des hackers qui disent avoir un deuxième et un troisième cycle de publication de données à l’ordre du jour. Les personnes impliquées utiliseraient un site appelé “Happy Blog” sur le dark web.

CriptoNoticias a constaté que le site Web de la banque reste avec un accès restreint. Lors de la tentative de saisie, le message suivant s’affiche: «Cette demande a été bloquée par les règles de sécurité». La banque a admis que, compte tenu de ce qui s’était passé, elle aurait dû suspendre par intermittence certains de vos services.

Ce qui s’est passé avec CIBanco se produit 18 mois après la confirmation d’une première attaque de ransomware. En février de l’année dernière, l’institution a admis que l’attaque avait eu lieu, mais qu’elle n’aurait pas non plus réussi, puisque les données des utilisateurs et de l’entreprise n’étaient pas compromises.

Une enquête publiée la semaine dernière par CryptoNews a évalué comment la violation de données était devenue une stratégie pour pousser les paiements de ransomware Bitcoin. Sur la liste des ransomwares avec des sites de fuite de données, on trouve: Sodinokibi, AKO, CLOP, DoppelPaymer, Nemty, Nephilim, NetWalker, Pysa, Ragnar Locker, Sekhmet, Avaddon et Maze.