El Equipo de Respuesta ante Incidente de Seguridad Informático de la ANCI, publicó este miércoles una alerta en que advierte la ocurrencia de un incidente significativo en una entidad estratégica del país, sin especificar al afectado, pero dentro de la nómina de los operadores de importancia vital y servicios esenciales.
El Equipo de Respuesta ante Incidente de Seguridad Informático de la ANCI publicó este miércoles una alerta con detalles técnicos sobre un incidente con efectos significativos que estaba afectando a una o más entidades estratégicas del país y que figuran en el listado de Operadores de Importancia Vital (OIV) o entre los Prestadores de Servicios Esenciales (PSE), sin especificar las entidades involucradas.
De acuerdo con la Alerta de Incidente en Curso (AIC26-00002), la situación continúa en análisis mientras se difunden antecedentes técnicos para apoyar la contención y mitigación, advirtió la entidad.
Según la información entregada, el ataque fue atribuido tempranamente al grupo de amenaza de ransomware Qilin y se respalda como evidencia la nota de rescate de en el mismo reporte.
Qilin, señala el comunicado, es un actor de amenaza observado por primera vez en julio de 2022, y es conocido por ejecutar campañas de secuestro de información contra organizaciones de los sectores tecnológico, financiero, salud e industrial, manteniendo patrones de compromiso consistentes y un impacto operativo elevado.
En este caso, el acceso inicial se logró mediante fuerza bruta contra un firewall WatchGuard, lo que permitió a los atacantes ingresar a la red institucional. El CSIRT Nacional explicó que Qilin suele operar utilizando credenciales comprometidas, ya sea obtenidas directamente o adquiridas a través de corredores de acceso inicial (Initial Access Broker). La entidad técnica advirtió que, en incidentes previos, “se identificaron accesos a través de VPN Fortinet y recientemente hemos detectado acceso por medio de VPN WatchGuard, pero complementaron que “en ambos casos no existían controles de seguridad configurados, tales como autenticación multifactor (MFA), bloqueo tras intentos fallidos ni bloqueo regional”.
El CSIRT Nacional también advirtió que los operadores de Qilin limitan sus intentos fallidos a tres por dirección IP antes de rotar, una técnica que dificulta la detección temprana y permite evadir mecanismos tradicionales de defensa.
El comunicado también indica que durante la fase de cifrado, el ransomware modifica los archivos agregando la extensión “{ID Único de la compañía afectada}” y deja una nota de rescate denominada “README-RECOVER-<extension/company_id>.txt”, evidencia incluida en la alerta técnica publicada por el CSIRT.
Como parte de las medidas de mitigación, el CSIRT recomendó implementar MFA obligatoria en todas las plataformas de acceso remoto, especialmente en VPN WatchGuard y Fortinet; aplicar restricciones geográficas (por ejemplo, permitir solo conexiones desde Chile); y reforzar el monitoreo de intentos de fuerza bruta. También se aconsejó restringir la instalación de aplicaciones y extensiones, aplicar el principio de mínimos privilegios, mantener respaldos inmutables y fuera de línea, validar periódicamente los procesos de restauración, segmentar redes críticas y reducir el uso de protocolos sensibles como SMB, RDP y SSH entre segmentos internos.
Hasta la entrega de esta nota, no hay información sobre otro tipo de impactos de este incidente, por ejemplo, si está causando la interrupción de las operaciones en la entidad afectada. La noticia está en desarrollo.