Estas son las carpetas que fueron secuestradas y cifradas
Estas son las carpetas que fueron secuestradas y cifradas

Mañana miércoles los ciberdelincuentes que atacaron la Dirección Nacional de Migraciones (DNM) darían a conocer la información que robaron de esta entidad. Los delincuentes secuestraron y cifraron los datos por medio de un software malicioso llamado Netwalker.

Para evitar difundir la información habían solicitado el pago de una cifra millonaria pero el gobierno argentino dijo que no negociará con los delincuentes e hizo la denuncia ante la Justicia: la causa está a cargo del juez Sebastián Casanello. El 27 de agosto, Migraciones informó que contuvo un ciberataque y que no se había afectado infraestructura crítica.

Dentro de la documentación robada hay 22 carpetas con información de Interpol, la AFI y diferentes embajadas, entre ellas la de Estados Unidos, donde constan las solicitudes de información que hace el Gobierno de EEUU sobre entradas y salidas de ciudadanos estadounidenses a la Argentina. La Casa Rosada ya informó a esa embajada los datos que fueron sustraídos.

Migraciones reconoció el incidente y dijo que no había afectaddo infraestructura crítica (@Migraciones_AR)
Migraciones reconoció el incidente y dijo que no había afectaddo infraestructura crítica (@Migraciones_AR)

Cómo fue el hackeo

Netwalker es un software malicioso (malware) que, cuando ingresa al sistema, cifra la información y la vuelve inaccesible para los usuarios. Para desencriptar los datos secuestrados, los atacantes piden dinero a las víctimas. Este tipo de malware es conocido como ransomware, que viene del inglés “ransom” que significa “rescate”.

La pregunta es cómo ingresó este malware al sistema informático. En este caso se manejan tres hipótesis: por un lado se cree que puede tratarse de un caso de phishing, o suplantación de identidad, que consiste en enviar mails o mensajes fraudulentos haciéndose pasar por alguna entidad reconocida. La víctima, creyendo haber recibido un mensaje genunino, ingresa y hace clic en algún sitio malicioso donde se le robarán las credenciales de acceso. Con esa información, los ciberatacantes ingresan al sistema e instalan el malware.

La otra hipótesis es que se haya tratado de un ataque directo. Es decir que los ciberatacantes hayan logrado traspasar las medidas de protección y vulnerar directamente el sistema sin tener que recurrir a un phishing. Y la tercera hipótesis es que los cibercriminales hayan contado con la colaboración de alguna persona dentro Migraciones que haya instalado el ransomware.

Netwalker, el ransomware de los USD 25 millones

Los ataques de ransomware, que implican el secuestro y cifrado de información, no son nuevos y vienen dando vueltas hace años. Quizás uno de los más grandes de los últimos tiempos haya sido WannaCry, que en 2017 afectó a más de 230 mil computadoras en 150 países.

Netwlaker en particular es una cepa de ransomware que apareció por primera vez en agosto de 2019. En su versión inicial, se llamaba Mailto, pero luego cambió su nombre a fines del año pasado. Funciona como un RaaS (ransomware como servicio) de acceso cerrado.

Expertos de la compañía McAfee señalan que NetWalker ha realizado en el último año intrusiones aprovechando vulnerabilidades en los servidores Oracle WebLogic y Apache Tomcat, tras ingresar a las redes a través de terminales RDP (protocolos de los dueños del software) con credenciales débiles o mediante el personal de spear-phishing (así se denomina el phishing dirigido a un usuario en particular) en empresas importantes. El grupo también ha hecho uso de exploits para servidores Pulse Secure VPN (CVE-201911510) y para aplicaciones web que utilizan el componente Telerik UI (CVE-2019-18935), según se supo en el último tiempo.

Se cree que los atacantes detrás del ransomware NetWalker han ganado más de USD 25 millones por pagos de rescate desde marzo de este año.

SEGUÍ LEYENDO: