El Correos griego sufre un ataque de ransomware que paraliza sus servicios

ELTA, el servicio postal heleno, creyó en un origen que solo se trataba de un malware, pero descubrió que la amenaza era mayor.

Alberto Payo

Periodista

Guardar

Imagen de Correos España.
Imagen de Correos España.

El Hellenic Post o ELTA, homólogo griego a nuestro Correos, ha dado a conocer un incidente de ciberseguridad que ha sufrido en los últimos días. 

El ataque se llevó a cabo el pasado domingo 20 de marzo. Esto hizo que el lunes el ELTA emitiera un comunicado donde informaron de que estaban trabajando con su proveedor de seguridad para restaurar sus servicios y que habían puesto el suceso en conocimiento de las autoridades policiales. 

El servicio postal heleno tomó la decisión de desconectar su centro de datos y aislarlo para evitar males mayores. Así, suspendieron temporalmente todos los sistemas de información comercial de todas sus oficinas postales en el país. 

Un día respués el ELTA emitió un nuevo comunicado en el que reconocía que no se había tratado de un simple ataque de malware como pensaban, sino de un ataque de ransomware dirigido a "encriptar los sistemas críticos" usados en sus operaciones diarias. 

En esta nueva declaración aclararon que una vulnerabilidad de día cero había sido explotada por los actores de amenazas con el fin de implementar un malware en su red. La infección inicial habría comenzado desde una estación de trabajo y usó la técnica de shell inversa https para conectarse al sistema informático del atacante. 

Una shell inversa o reverse shell implica que el listener (o software a la escucha de solicitudes de conexión) se configura y ejecuta en la máquina atacante, a diferencia de la shell directa o blind shell donde este programa se ejecuta en la máquina objetivo. 

Investigando más de un millar de equipos

Desde que la infección inicial comenzó, la compañía está examinando más de 2.500 sistemas informáticos mientras instala programas nuevos en ellos para detectar problemas de seguridad. Su objetivo es "la reapertura inmediata del sistema de información comercial, la seguridad de todos los datos y la normalización más rápida en la operación de las tiendas”.

Las tiendas no atenderán el cobro de facturas, el envío de correspondencia y los servicios financieros”, advierte el Correos griego. No obstante, la distribución de correspondencia y paquetes que ya se encuentran en las estaciones de correo sí que se están llevando a cabo sin contratiempos.

Para garantizar la continuidad de su negocio, el proveedor de servicios postales se ha apoyado en ELTA Courier, una subsidiaria premium de ELTA. Esta unidad no se vio afectada por el ciberataque y gracias a ella está pudiendo brindar todos sus servicios, a excepción de los financieros.