Pedían 4 millones de dólares de recompensa, que el Gobierno decidió no pagar. Denuncian extorsión y se investiga una “pata local”.

Se venció el plazo, el Gobierno no pagó y el grupo de ciberdelincuentes que logró instalar un ransomware en la Dirección Nacional de Migraciones (DNM) publicó esta mañana la información privada del organismo dependiente del Ministerio del Interior que sustrajo el 27 de agosto pasado en un ataque que dejó a los pasos fronterizos de Argentina desconectados del mundo por más de 3 horas.

A las 9:12 minutos, la cuenta regresiva llegó a su fin y la banda de NetWalker –como se hacen llamar– reveló la clave para acceder a los archivos de Migraciones, alojados en DropMeFiles.

Los atacantes de Migraciones subieron a la deep web 1,8 gigas de datos. El password para descomprimir el .rar, como si fuese un mensaje irónico en medio de la pulseada judicial, fue el más vulnerable y utilizado del planeta: 123456

La lista de targets de los ciberdelincuentes, donde se publicó la información de Migraciones. Foto Netwalker Blog

La lista de targets de los ciberdelincuentes, donde se publicó la información de Migraciones. Foto Netwalker Blog

La página donde colgaron los archivos robados está en ruso, algo que no resulta llamativo ya que la regla número uno de trabajo de este grupo internacional de cibercriminales es nunca hacer trabajos contra Rusia.

El virus, llamado Netwalker, logró así meterse en los servidores del sistema de la DNM y copiar una inmensa cantidad de información que el Gobierno califica como “sensible pero no crítica”.

Ahora, a través de ese link, los datos están accesibles en una dirección de la dark web.

“Al igual que otros ransomware, NetWalker publica extractos de los datos robados en un llamado ‘sitio de filtración’. Si la víctima no paga, se publica la totalidad de los datos robados”, había explicado explicó a Clarín Brett Callow, analista de amenazas de la compañía de ciberseguridad Emsisoft, el jueves pasado cuando se confirmó que Migraciones había sido intervenido.

Si bien en la DNM se muestran tranquilos, debido a que cuando ocurrió el incidente desconectaron todo el sistema para prevenir que se siguiera diseminando, la cepa Netwalker de ransomware tiene una particularidad: no sólo secuestra información, sino que la copia.

El sitio de DropMeFiles donde está alojada la información

El sitio de DropMeFiles donde está alojada la información

Es decir, los ciberdelincuentes tienen una copia de la información que pudieron sustraer, aunque Migraciones haya contenido el ataque.

Y hay otro dato preocupante: la información que Netwalker lleva puede abarcar un período hasta 56 días anterior al “deploy”, esto es, a que la víctima lo detecte. Con lo cual, no se sabe si Migraciones tiene del todo claro qué información le copiaron.

¿Qué fue lo que se robaron y ahora publican? En Migraciones señalaron a Clarín que se trata de información sensible, ya que tendría que ver con datos de inteligencia criminal, en principio, pero de ninguna manera críticos para garantizar la seguridad fronteriza.

La información sobre movimientos migratorios, en el centro de la escena.

La información sobre movimientos migratorios, en el centro de la escena.

Las carpetas que mostraron los ciberdelincuentes, explicaron fuentes oficiales, poseen información de los años 2015 y 2016 vinculadas a inteligencia criminal, vinculadas a temas de seguridad, cédulas o alertas de Interpol.

Sin embargo eso no quiere decir que sea lo único que lograron sustraer los atacantes, ya que en total subieron 1,8 gigas de información a la dark web: cientos o miles de documentos. 

La información robada

No traten de recuperar sus archivos sin un programa desencriptador, podrían dañarlos y dejarlos en condición de irrecuperables. Para nosotros esto son negocios y para probarles nuestra seriedad, les desencriptaremos un archivo sin costo. Abran nuestro sitio, suban el archivo encriptado y tendrán el archivo desencriptado gratis. Además, su información podría haber sido robada y si no cooperan con nosotros, se convertirá públicamente disponible en nuestro blog, fue el mensaje que habían dejado los ciberdelincuentes tras el ataque.

Además, colgaron una “prueba de vida” del secuestro. En la imagen que colgaron los ciberatacantes se ve una pantalla con 22 carpetas con los siguientes nombres: “ABM”, “AFI”, “CAJA”, “CAPACITACIÓN INTERPOL”, “CEDULA ARGENTINA”, “CHINOS CORRIENTES”, “CONSULADO DE COLOMBIA”, “CONTRATOS”, “DELEGACIÓN ENTRE RÍOS”, “EMBAJADA DE EEUU”, “EMBAJADA DE MÉXICO”, “EMBAJADA DE RUMANIA”, “EMBAJADA DE FILIPINAS”, “ESCANER_GRANDE”, “INFORME INTERPOL FLUJO MIGRATORIO”, “INICIATIVA INTERNACIONAL DE ACELER…”, “MEMO 31-15 RECUPERACIÓN DE DATOS”, “MEMO 43-16 MOTA 37-15”, “MEMO 281 – 15 AFRICANOS”, “MEMO 293-15”, “MEMO 1461 – 2015”.

La lista de carpetas que difundió NetWalker de la Dirección Nacional de Migraciones. Foto NetWalker Blog

La lista de carpetas que difundió NetWalker de la Dirección Nacional de Migraciones. Foto NetWalker Blog

Al principio pidieron 2 millones de dólares de rescate, pero tras una semana la cifra se duplicó a 4 millones de dólares.

En el ministerio del Interior, que comanda Eduardo “Wado” De Pedro, del que depende Migraciones, denunciaron la extorsión ante la Justicia y fueron tajantes. “Pagar está descartado”, habían dicho ayer a Clarín, al confirmar en exclusiva la negativa del Gobierno a transferir siquiera un dólar a NetWalker.

Lo inédito del ataque –es el primero en el mundo contra una dependencia de tan alta jerarquía gubernamental– hizo la información se manejara a cuentagotas y eso generó confusión, ya que en un primero momento había transcendido que la organización pedía pedía 76 millones de dólares de recompensa. Una cifra sideral, teniendo en cuenta que el golpe más grande con un virus así fue de 42 millones de dólares, y había un multimillonario buffet de abogados norteamericanos en el medio.

El particular ataque contra el Gobierno Nacional despertó otra sospecha. ¿Hubo una pata local en el hackeo? Es la hipótesis que toma fuerza en Casa Rosada, donde marcan que el golpe responde a un conflicto de intereses en torno a los datos personales que maneja migraciones. Una persona u organización acudió a Netwalker para contar con sus servicios y enviar un mensaje.

“Es la idea de ‘unidades de negocios’, en la que esta suerte de portal de la internet profunda [deep web] se usa para atacar un lugar direccionado. Se cuelga la protesta, luego el interesado se asocia con hackers de afuera y se realiza el ataque”, resumen fuentes oficiales. Es decir, salieron a buscar un “freelancer” de la ciberdelincuencia.

La denuncia del Gobierno

Sebastián Casanello investiga el ransomware que le instalaron a Migraciones. Foto Manrique F. Buente

Sebastián Casanello investiga el ransomware que le instalaron a Migraciones. Foto Manrique F. Buente

El gobierno acudió a la Justicia y denunció lo sucedido. La presentación judicial quedó en manos del juez Sebastián Casanello. El magistrado delegó la instrucción de la causa en el fiscal federal Guillermo Marijuán, que a su vez requirió la ayuda de la Unidad Fiscal Especializada en Ciberdelincuencia, Horacio Azzolin. 

La denuncia marca que el virus afectó archivos de Windows (ADAD SYSVOL y SYSTEM CENTER DPM principalmente) y archivos de Microsoft Office (Word, Excel, etc.) de los puestos de trabajo y carpetas compartidas de los usuarios.

Un área sensible sufrió el ataque más que otras: la del Sistema Integrado de Captura Migratoria (SiCaM) que es utilizado en los pasos internacionales para detectar si personas buscadas por la Justicia intentan ingresar o huir de Argentina.

La dependencia denunció al grupo de ciberdelincuentes por cuatro delitos: extorsión, debido al reclamo de compra de un programa para desencriptar los documentos robados; daño agravado, por los perjuicios en los pasos fronterizos; acceso ilegítimo a un sistema informático de acceso restringido, por la penetración en la red de la DNM; y acceso ilegítimo a banco de datos personales, por el presunto robo y encriptación de archivos.

Lo consideraron un delito contra la Seguridad Pública, pero recalcaron que no se robó información cuya filtración sea sensible.

El ataque

Netwalker es un ransomware como WannaCry, uno de los más famosos. Foto Bloomberg

Netwalker es un ransomware como WannaCry, uno de los más famosos. Foto Bloomberg

El jueves de la semana pasada Clarín pudo confirmar con fuentes del Ministerio del Interior que el ransomware se encontraba activo. Si bien las acciones de ciberdelincuentes contra gobiernos e instituciones públicas son comunes, hay una particularidad que hace distinto a este ataque: no hay registros de ransomwares que hayan logrado detener las operaciones de un país.

Sucede que por cuestiones de seguridad, Migraciones desconectó el sistema para preservar la base de datos. Esto generó que durante tres horas los cinco puestos fronterizos terrestres, el aeropuerto de Ezeiza y la terminal de Buquebus estuvieran sin sistema y cerrados durante ese lapso. Nadie pudo entrar ni salir del país en esas horas, y eso fue por la culpa de Netwalker.

A pesar de que hay algunos ransomware que pueden ser desbloqueados, NetWalker no es uno de ellos. Y por eso ha sido tan exitoso: el grupo de hackers que lo usa logró recaudar 25 millones de dólares desde marzo de 2020.

Netwalker es el nombre del ransomware, el tipo de virus que logra meterse en equipos particulares y sistemas para “llevarse” información y encriptarla.

Si el atacado no tiene un backup, la única forma de recuperar la información es pagando. Hay un grupo de cibercriminales que utiliza Netwalker con bastante éxito: ya llevan recaudados -por lo menos- 25 millones de dólares en lo que va de 2020, según McAfee, compañía espe

Leave a Reply

Your email address will not be published. Required fields are marked *