Sociedad
Sigue en ascenso la temperatura y hay alerta por tormenta con granizo: el pronóstico para este miércoles
hace 11 horas
Se venció el plazo que tenía que el Gobierno para pagar a un grupo de ciberdelincuentes que atacó la base de datos de la Dirección Nacional de Migraciones.
Debido a esto, esta mañana se publicó información privada del organismo dependiente del Ministerio del Interior que fue robada el 27 de agosto pasado en un ataque que dejó a los pasos fronterizos de Argentina desconectados del mundo por más de 3 horas.
Según informó Clarín, a las 9:12 minutos de hoy se acabó el tiempo y la banda de NetWalker reveló la clave para acceder a los archivos de Migraciones, alojados en DropMeFiles.
Los atacantes de Migraciones subieron a la deep web 1,8 gigas de datos en una página que está en ruso. La contraseña elegida para descomprimir el archivo fue 123456.
Virus
El virus, llamado Netwalker, logró meterse en los servidores del sistema de la DNM y copiar una inmensa cantidad de información que el Gobierno calificó como “sensible pero no crítica”.
“Al igual que otros ransomware, NetWalker publica extractos de los datos robados en un llamado ‘sitio de filtración’. Si la víctima - en este casos el Estado argentino - no paga, se publica la totalidad de los datos robados”, había explicado a Clarín Brett Callow, analista de amenazas de la compañía de ciberseguridad Emsisoft.
Si bien en la DNM se muestran tranquilos, debido a que cuando ocurrió el incidente desconectaron todo el sistema para prevenir que se siguiera diseminando, la cepa Netwalker de ransomware tiene una particularidad: no sólo secuestra información, sino que la copia.
Es decir, los ciberdelincuentes tienen una copia de la información que pudieron sustraer, aunque Migraciones haya contenido el ataque.
Según fuentes oficiales, las carpetas que mostraron los ciberdelincuentes poseen información de los años 2015 y 2016 vinculadas a inteligencia criminal, vinculadas a temas de seguridad, cédulas o alertas de Interpol.
Sin embargo, esto no quiere decir que sea lo único que lograron sustraer los atacantes, ya que en total subieron 1,8 gigas de información a la dark web: cientos o miles de documentos.
“No traten de recuperar sus archivos sin un programa desencriptador, podrían dañarlos y dejarlos en condición de irrecuperables. Para nosotros esto son negocios y para probarles nuestra seriedad, les desencriptaremos un archivo sin costo. Abran nuestro sitio, suban el archivo encriptado y tendrán el archivo desencriptado gratis. Además, su información podría haber sido robada y si no cooperan con nosotros, se convertirá públicamente disponible en nuestro blog”, fue el mensaje que habían dejado los ciberdelincuentes tras el ataque.
También subieron una captura de pantalla con 22 carpetas con los siguientes nombres: “ABM”, “AFI”, “CAJA”, “CAPACITACIÓN INTERPOL”, “CEDULA ARGENTINA”, “CHINOS CORRIENTES”, “CONSULADO DE COLOMBIA”, “CONTRATOS”, “DELEGACIÓN ENTRE RÍOS”, “EMBAJADA DE EEUU”, “EMBAJADA DE MÉXICO”, “EMBAJADA DE RUMANIA”, “EMBAJADA DE FILIPINAS”, “ESCANER_GRANDE”, “INFORME INTERPOL FLUJO MIGRATORIO”, “INICIATIVA INTERNACIONAL DE ACELER…”, “MEMO 31-15 RECUPERACIÓN DE DATOS”, “MEMO 43-16 MOTA 37-15”, “MEMO 281 - 15 AFRICANOS”, “MEMO 293-15”, “MEMO 1461 - 2015”.
Denuncia
Tras el ataque, el ministerio del Interior radicó una denuncia por extorsión ante la Justicia y fueron tajantes. “Pagar está descartado”, expresaron en una nota anterior para Clarín.
La denuncia marca que el virus afectó archivos de Windows (ADAD SYSVOL y SYSTEM CENTER DPM principalmente) y archivos de Microsoft Office (Word, Excel, etc.) de los puestos de trabajo y carpetas compartidas de los usuarios.
