WhatsApp de Publicidad
Seguinos

Pedían 4 millones de dólares

Ataque a Migraciones: venció el plazo y los hackers publicaron información privada

Los ciberdelincuentes dieron a conocer los datos en la dark web. La página está en idioma ruso, pero se investiga una conexión local.

La semana pasada, el Ministerio del Interior confirmó que sufrió un ciberataque de tipo ransomware, en el que un software malicioso encripta una serie de archivos y exige un pago para liberar la clave de acceso. En este caso, de 4 millones de dólares.

En su momento, en el Ministerio del Interior dijeron que aunque el blanco del ciberataque fue el Sistema Integral de Captura Migratoria, que opera en los pasos internacionales, lo que ocasionó demoras en el ingreso y egreso al territorio nacional, esto “no afectó la infraestructura crítica, ni la información sensible, personal o corporativa, que administra el organismo”.

Sin embargo, los atacantes afirmaron lo contrario: le dieron un plazo a la Dirección Nacional de Migraciones a que pagara el rescate antes del 10 de septiembre, prometiendo publicar los datos (que copiaron además de cifrar).

El pago no apareció así que ahora toda la información está online: 1,8 gigabytes de datos disponibles en el sitio DropMeFiles, en un archivo comprimido y con una contraseña fácil de averiguar: 123456.

La página donde colgaron los archivos robados está en ruso, algo que no resulta llamativo ya que la regla número uno de trabajo de este grupo internacional de cibercriminales es nunca hacer trabajos contra Rusia.

El virus, llamado Netwalker, logró así meterse en los servidores del sistema de la DNM y copiar una inmensa cantidad de información que el Gobierno califica como “sensible pero no crítica”. Ahora, a través de ese link, los datos están accesibles en una dirección de la dark web.

“Al igual que otros ransomware, NetWalker publica extractos de los datos robados en un llamado ‘sitio de filtración’. Si la víctima no paga, se publica la totalidad de los datos robados”, había explicado Brett Callow, analista de amenazas de la compañía de ciberseguridad Emsisoft, el jueves pasado cuando se confirmó que Migraciones había sido intervenido.

Si bien en la DNM se muestran tranquilos, debido a que cuando ocurrió el incidente desconectaron todo el sistema para prevenir que se siguiera diseminando, la cepa Netwalker de ransomware tiene una particularidad: no sólo secuestra información, sino que la copia.

La advertencia

En las computadoras afectadas por el ransomware (llamado NetWalker) los malhechores dejaron una advertencia: “No traten de recuperar sus archivos sin un programa desencriptador, podrían dañarlos y dejarlos en condición de irrecuperables. Para nosotros esto son negocios y para probarles nuestra seriedad, les desencriptaremos un archivo sin costo. Abran nuestro sitio, suban el archivo encriptado y tendrán el archivo desencriptado gratis. Además, su información podría haber sido robada y si no cooperan con nosotros, se convertirá públicamente disponible en nuestro blog, fue el mensaje que habían dejado los ciberdelincuentes tras el ataque.”

Junto con esto, publicaron una captura de pantalla de los contenidos copiados por el software; los expertos calculan que la infección pudo hacerse hasta dos meses antes de que se activara el ransomware, por lo que no está del todo claro cuánta información obtuvieron, más allá de los documentos internos de la Dirección Nacional de Migraciones que hicieron públicos.

En una denuncia presentada a la Justicia por el ciberataque en el Ministerio del Interior señalan que dieron con una publicación en la Deep Web en la que hay una “amenaza concreta de divulgación en la web de documentos y/o carpetas compartidas de usuarios y puestos de trabajo de la Dirección Nacional de Migraciones”.

(Fuentes: Clarín y La Nación)

Lo más leído