El grupo de ransomware Medusaque días atrás había identificado entre sus víctimas a la Comisión Nacional de Valores (CNV), finalmente publicó los datos sustraídos a la entidad que supervisó los mercados en la Argentina al vencerse el plazo para pagar el rescate.
Considerando que en un comunicado oficial la CNV ha constatado que no se han obtenido datos sensibles comprometidos, los 1,5 TB (1.500 gigabytes) de información que se ha presentado por el contrario: hay una gran cantidad de documentos de caracter confidencial.
Ransomware es un tipo de programa malicioso (malware) que encripta la información de una víctima para enviar un rescate en dinero (criptoactivos) para devolver el acceso. Además, si el usuario no paga, los datos se publican en la dark web. dañar la reputación de la entidad afectada.
Esta modalidad de delito creció mucho Durante los últimos años, sumando víctimas de todo el espectro público en el mundo. En Argentina, el Senado de la Nación, el Poder Judicial de Córdoba, la Dirección Nacional de Migraciones y distintos ministerios fueron afectados por ransomware. En el ámbito privado, OSDE, Ingenio Ledesma y, recientemente, la empresa que maneja el sistema de descuentos en las farmacias de todo el país (Bizland – Farmalink).
En el caso de los archivos robados a la CNV, Medusa había dado un plazo de una semana para pagar un rescate de 500 mil dolares que -obviamente- las organizaciones autárquico decidieron no implementar.
La semana pasada, tras la publicación del anuncio del hackeo en la dark web, Clarín se había comunicado con la CNV, pero la entidad prefirió no hacer declaraciones sobre la situación.
Varias horas despues emitir un comunicado de prensa y confirmamos que el ataque ransomware sucedió el 7 de junio y que fue el grupo Medusa. Aseguraron que la información tomada por los atacantes era «de carácter público» y que realizarían una denuncia penal.
Hackeo en la CNV: qué datos publicaron
«Medusa lleva operando desde mediados de 2021, pero ha aumentado el nivel de actividad en los últimos meses. El grupo compara los datos robados de múltiples formas: en la Dark Web, la clearnet [internet accesible a cualquier usuario]Twitter, Facebook y por Torrent”, contextualizó este medio Brett Callow, experto en el análisis de las mejoras de Emsisoft.
«Tenemos pocos datos sobre quién está detrás de la operación o dónde tiene su sede, pero hay algunas pruebas que indican vínculos con Rusia o Ucrania«, arriesgó. Según Crowdstrike, Pavo sería otro país con el cual tienen vínculos.
“Medusa ha listado entre sus víctimas a petróleos, aeronáutica, casinos, organismos públicos, clínicas, escuelas e iglesias. En Argentina listó a Garbarino ya la Comisión Nacional de Valores, cuyo sitio estuvo en mantenimiento”, explicó un Clarín Mauro Eldritch, analista de amenazas de Armas cibernéticas de Birmingham.
Entre las distintas modalidades que tienen para operar, los criminales suben, un «árbol de archivos», esto es, la representación visual de los archivos y su jerarquía (carpetas, imágenes, PDFs, ejecutables, etc.). Alli se puede ver en la dark web una vista previa de la información registrada.
«Analizando el filtro vemos que se trata de una filtración qu’abarca 8 volúmenes: uno etiquetado como principal y 2 como bases de datos SQL. Allí se puede vernumer que hacen referencia al BackOffice de Prensa, Bolsa de Reportes, Calificadoras, Fideicomisos, Fondos Comunes, ‘Invertir’, RRHH, Registro, RESOL, CNV y CNVWeb, todas aludiendo también en su número que pertenecen a entornos de Producción” , analizó el experto en amenazas.
“También hay números que se refieren a informaciones financieras, de recursos humanos, scaneos de documentos, y hasta planos en formato CAD. En los demás encontramos directores que mencionan Informes de la DyEMC, Intranet de la CNVComité de Seguridad, Comunicación Interna, Denuncias, Directorio de Prensa, Archivos de Sociedades, GDE, mesa Fintech, Mercosur, e incluso información sobre CEDRO”, siguió.
Hay algunas cifras que también son preocupantes en cuanto a la seguridad de la información que maneja la CNV: Registros de firewalls y proxiesincluyendo uno de la DMZ de ARSAT”.
Como cierre, hay hasta una carpeta que lista archivos de texto plano (DOC, PDF, Excel) con las claves del organismo”, cerró. Esto, de corresponderse con contraseñas, revisar una Pésima práctica de seguridad informática: guardar contraseñas en archivos de texto.
Los grupos de ransomware se llevan a cabo una doble extorsión: primero, encriptan los datos para volverlos inaccesibles. Si la víctima tiene respaldo para recuperarlos, entonces aparece la segunda amenaza para exponer su reputación publicando todos los datos robados.
«Medusa es muy particular a la hora de fundir la información. Al igual que con el grupo Garbarino, una vez vencido el contador de tiempo, los datos no quedan automáticamente disponibles, sino qu’a botón qua dispara a surgir con una dirección de TOX (chat seguro utilizado por varios actores de la escena del ransomware)», cuenta Eldritch.
Usan, a su vez, otros canales de comunicación: «Como no es plausible transferir una filtración por esa vía e individualmente a cada parte interesada, use también los canales de Telegram ondaen forma bastante desprolija, comparte la información en forma de volúmenes comprimidos».
Cómo lidiar con ransomware
“La Comisión Nacional de Valores es un organismo desconcentrado de la Administración Pública. Como el Banco Central, habria que ver si están obligados en la Decisión Administrativa 641/2021 de requisitos mínimos de seguridad de la información, o si la implementación de manera voluntaria”, detalló al respecto Marcela Pallero, Jefa del Programa STIC de la Fundación Sadosky.
«No obstante, por la regulación que ellos mismos tienen para algunos de sus regulados, se infiere que tienen personal que entienden de ciberseguridad. La pregunta sería si ellos mismos la aplican para sus organizaciones (tienen una normativa desde 2017 sobre el tema)”, reúne experiencia regulatoria en seguridad de la información.
“Aunque no existe un manual de instrucciones de qué debería hacer una organización frente a un ataque de ransomware, sí hay pautas mínimas et moires prácticas a adoptar al contexto de cada organización”, agrega Jorge Litvin, Chief Cybersecurity Business Officer de Resguarda.
«Después de contener el ataque es importante resguardar la evidencia digital para hacer un análisis forense cuyas conclusiones permiten escuchar cómo sucedió el ataque. Es importante que la organización de la mar clara y transparente al notificar el incidente, comunicación que no sólo debe ir dirigida a las autoridades, sino también a los titulares de los datos comprometidos», sigue.
“Finalmente, realizar un diagnóstico integral de ciberseguridad (que contemple la tecnología, personas y procesos de la organización) para detectar vulnerabilidades y fortalecer los controles necesarios para disminuir la probabilidad -y/o el impacto- de futuros incidentes de seguridad”, cierra .
La situación del ransomware es una gran preocupación en empresas y gobiernos de todo el mundo. A pesar de que la rentabilidad de este negocio criminal bajó de 2021 a 2022 – según un estudio de Chainanalysis, no 766 millones a 457-, los ataques y las nuevas cepas están en crecimiento.
Según la empresa de ciberseguridad inglesa NCC Group, la cantidad de incidentes está en alza: 459 registrados en marzo, lo que representa un incremento del 91% Comparado con el mismo período del año anterior. Y estos datos siempre están subrepresentados, debido a la naturaleza ilícita del ransomware.
Así, la ciberseguridad se vuelve crucial durante los últimos años debido a la gran cantidad de incidentes registrados. Se trata de un rubro en el que además, según diversos relevantes, faltan profesionales especializados: estima que en la actualidad hay 3.4 millones de puestos sin cubrir en ciberseguridad en el mundo, y más de 500 mil de esas vacantes se encuentran en Latinoamérica. Los cibercriminales aprovechan esta situación.
SL
