Un ataque de ransomware conocido como NetWalker secuestró información de la Dirección Nacional de Migraciones (DNM) y amenaza con publicar esos datos de la dependencia del Ministerio del Interior si no se efectúa un pago millonario. Se habla de US$ 76 millones pero las autoridades confirmaron que son US$ 4 millones (a pagar en Bitcoins). El plazo vence hoy miércoles. Los datos que se publicaron en este caso se difundieron a través de una captura de pantalla donde se ven carpetas que hacen referencia a la Agencia Federal de Inteligencia (AFI), consulados, embajadas e informes de flujos migratorios. Allí también se ve el lapso de tiempo en el que la información será publicada.

Migraciones reestablece sus servicios



La Dirección Nacional de Migraciones (DNM), dependiente del Ministerio del Interior, informa que logró contener un intento de ciberataque al organismo, lo que ocasionó la caída de servicios, que se están restableciendo de manera paulatina. — Migraciones (@Migraciones_AR) August 27, 2020

Fuentes del Ministerio del Interior, a cargo de Eduardo “Wado” de Pedro, confirmaron a Clarín el incidente informático y aseguraron que ya presentaron una denuncia penal al respecto que quedó en manos del juez Sebastián Casanello.

La muestra de ransomware NetWalker analizada ha sido distribuida utilizando un dropper desarrollado en Visual Basic Script (VBS), que se incluye como fichero adjunto en la campaña de spam. Es un ransomware de cifrado (encrypting ransomware), es decir, impide el acceso a los datos del usuario cifrando los archivos del dispositivo, aunque se mantiene el acceso al mismo. El 18 de marzo de este año se analizó, por primera vez, el archivo CORONAVIRUS_COVID-19.vbs en la herramienta VirusTotal y, a fecha de 31 de marzo, 32 de los 59 motores antivirus que gestiona VT han clasificado la muestra como maliciosa, tal y como se aprecia en la siguiente imagen:

Al parecer el número final del rescate es de 355 bitcoins.

Según explica la publicación especializada Bleeping Report si bien los ataques de ransomware no sólo son comunes sino que crecieron durante las respectivas cuarentenas que se decretaron en todo el mundo por el coronavirus, este sí sería el primer caso en el que el virus logra detener las operaciones de un país. De acuerdo a Emsisoft, empresa de seguridad informática especialista en destrabar ransomwares para la recuperación de información, estima que durante 2019 recaudaron más de 6 mil millones de dólares. Y McAffe, que de marzo de 2020 hasta la fecha, aproximadamente, la pandilla de Netwalker recaudó cerca de 25 millones de dólares a fuerza de extorsiones.

Hasta que no se terminé las investigaciones tanto interna como judicial no se puede confirmar si el ataque fue externo o contó con apoyo interno. Pudo ocurrir que sin darse cuenta algún empleado abrió un mail con origen desconocido y ejecutó un archivo que contenía el virus. O también pudo ser un ataque remoto desde otro país. A raíz de lo sucedido las autoridades le solicitaron la renuncia al Director General de Gestión Informática y Tecnología de la Información Juan Carlos Biacchi por considerar que hubo un mal accionar en el manejo de la situación. En la mayoría de los casos, el ramsonware entre a los sitemas a partir de correos de phishing y por descuido de los trabajadores.

La recomendación de todas las empresas de seguridad es no pagar a los atacantes, ya que por un lado no hay seguridad en que se entreguen las llaves de encriptación y por el otro se alienta al negocio y fomenta que más atacantes usen este método.