Hace unos días la seguridad de la Dirección Nacional de Migraciones (DNM) fue vulnerada. Secuestraron información referente de la dependencia del Ministerio del Interior, y han pedido un pago millonario a cambio.
El plazo vence el miércoles que viene y se habla de una suma de 76 millones de dólares. Fuentes del Ministerio del Interior confirmaron el incidente informático y aseguraron que ya se realizó la denuncia correspondiente.
“Al igual que otros ransomware, NetWalker publica extractos de los datos robados en un llamado ‘sitio de filtración’. Si la víctima no paga, se publica la totalidad de los datos robados. En este caso, sucederá en un lapso de 5-6 días”, explicó Brett Callow, analista de amenazas de la compañía de ciberseguridad Emsisoft.
Los datos que se publicaron contiene capturas de pantalla de la Agencia Federal de Inteligencia (AFI), consulados, embajadas e informes de flujos migratorios. Además del tiempo que resta para que la información sea publicada.
¿Cuál fue el mensaje de los hackers?
“No traten de recuperar sus archivos sin un programa desencriptador, podrían dañarlos y dejarlos en condición de irrecuperables. Para nosotros esto son negocios y para probarles nuestra seriedad, les desencriptaremos un archivo sin costo.
“Abran nuestro sitio, suban el archivo encriptado y tendrán el archivo desencriptado gratis. Además, su información podría haber sido robada y si no cooperan con nosotros, se convertirá públicamente disponible en nuestro blog“.
¿Cómo procedieron?
Según explicaron, un virus entró desde Migraciones y por seguridad desconectaron el sistema para preservar la base de datos, esto generó que durante tres horas los cinco puestos fronterizos terrestres, el aeropuerto de Ezeiza y la terminal de Buquebus estuvieran sin sistema y cerrados durante ese lapso. Osea que nadie pudo entrar ni salir del país en esas horas.
Desde el área de Sistemas de Migraciones se recibieron numerosos llamados de diversos puestos de control solicitando soportes técnico. La cantidad de reportes, de diferentes puntos del país, hizo captar mayor atención dando cuenta que no se trataba de una situación normal, sino de una maniobra de ciberdelincuentes.
Tras el ataque, se realizó una pericia técnica y se corroboró el funcionamiento chequeando contra la base de datos. Luego de esa operación se documentó qué computadoras fueron vulneradas, lo cual se incluyó en la denuncia penal presentada y que ahora investiga el Juez Casanello.
En este proceso, apareció la organización de ciberdelincuentes internacional pidiendo un millonario rescate, y se amplió la presentación judicial con esta nueva información y la capturas de pantalla que ahora circula en redes sociales.
Por ahora los cibercriminales sólo podrían haber accedido a archivos alojados en las computadoras sobre inteligencia criminal, fichas de terroristas con ingreso prohibido al país, pero “no información sensible”, según explicaron.
¿A qué información pudieron acceder?
En la imagen que colgaron los ciberatacantes se ve una pantalla con 22 carpetas con los siguientes nombres: “ABM”, “AFI”, “CAJA”, “CAPACITACIÓN INTERPOL”, “CEDULA ARGENTINA”, “CHINOS CORRIENTES”, “CONSULADO DE COLOMBIA”, “CONTRATOS”, “DELEGACIÓN ENTRE RÍOS”, “EMBAJADA DE EEUU”, “EMBAJADA DE MÉXICO”, “EMBAJADA DE RUMANIA”, “EMBAJADA DE FILIPINAS”, “ESCANER_GRANDE”, “INFORME INTERPOL FLUJO MIGRATORIO”, “INICIATIVA INTERNACIONAL DE ACELER…”, “MEMO 31-15 RECUPERACIÓN DE DATOS”, “MEMO 43-16 MOTA 37-15”, “MEMO 281 – 15 AFRICANOS”, “MEMO 293-15”, “MEMO 1461 – 2015”.
Los nombres de esos archivos podrían dar cuenta de información vinculada a la Agencia Federal de Inteligencia (AFI), información diplomática sobre varias embajadas, y hasta datos de la policial internacional Interpol.
A consecuencia, Seguridad Informática trabaja para saber qué falló y cómo los hackers pudieron vulnerar el sistema. Además, fue despedido de su cargo el director de Seguridad Informática a cargo de la dependencia, quien estaba a cargo desde hacía 25 años.
Si bien Migraciones dio cuenta del hecho y logró bloquear un primer hackeo, estos ataques tienen acceso a información desde hace 56 días previos a que se active el ataque que encripta los archivos.
“Durante ese período previo, los atacantes ya pueden haber robado información. Para el momento en el que las organizaciones se dan cuenta del incidente, la información ya fue robada”, detalla Callow. Y seguramente, haya sucedido eso en este caso.
“Solicitamos se investigue este hecho desde una triple perspectiva, es decir, saber si el ciberataque se realizó como un fin en sí mismo, si fue con el objeto de manipular o dañar información contenida en nuestra base de datos, o como una herramienta para lograr y/o facilitar la comisión de un delito tradicional“, explicó la Dirección de Migraciones, a través de sus abogados.
Según se pudo conocer, NetWalker es una “cepa” particular de este tipo de programas que secuestran información. Desde distintas bandas de hackers “aplican” para usar este ransomware a través de versiones personalizadas. NetWalker “depura” esas versiones y las reparte entre distintos grupos de atacantes para que hagan los “deploy” (implementación, publicación), esto es, que efectivamente ataquen a alguna entidad.
¿Qué es un Ransomware?
Ransomware es un acrónimo de “programa de rescate de datos”. Si desarticulamos la palabra, “Ransom” en inglés significa rescate, y “ware” es un acortamiento de la conocida palabra software: un programa de secuestro de datos. El ransomware es un subtipo del malware, acrónimo de “programa malicioso” (malicious software).
Es así que, este tipo de virus actúa restringiendo el acceso a partes de nuestra información personal, o la totalidad. Y en general, los hackers explotan esto para pedir algo a cambio: dinero. Por eso siempre los más buscados son grandes empresas, gobiernos e instituciones.
Si bien algunos ransomware simples pueden bloquear el sistema de una manera simple, hay ransomware más avanzados que utilizan una técnica llamada extorsión “criptoviral”, en la que se encriptan los archivos de la víctima logrando que se vuelvan completamente inaccesibles.
