A través del ransomware Netwalker los atacantes secuestraron la información de la Dirección Nacional de Migraciones (DNM) y solicitaron US$ 76 millones a cambio de no publicar los archivos robados, dando plazo de realizar el pago hasta el miércoles 16 de septiembre.
Los datos se difundieron por una captura de pantalla donde se visualizan carpetas pertenecientes a la Agencia Federal de Inteligencia (AFI), consulados, informes migratorios y embajadas.
La denuncia fue realizada por María Eugenia Lachalde, dependiente de la Dirección Nacional de Migraciones (DNM), adjudicado al Ministerio de Interior.
En las declaraciones denunciaron que el viernes 27 de agosto, la Dirección de Tecnología y Comunicaciones recibieron varias llamadas de distintos puestos de control solicitando soporte técnico; en ese momento dedujeron que no era una situación común y notaron la actividad de un virus que había infectado los sistemas de archivos. Luego de detectar el ataque suspendieron la atención al público para dejar inactivas las redes de los sistemas y así evitar la propagación de la infección en los servidores.
Finalmente, el 30 de agosto se dieron cuenta que el virus era del tipo ransomware y pertenecía a Netwalker.
¿Cómo opera NetWalker?
Es un ransomware de cifrado (encrypting ransomware), es decir, impide el acceso a los datos del usuario cifrando los archivos del dispositivo, aunque se mantiene el acceso al mismo.
Su ejecución se divide en 4 fases:
- El código malicioso importa las funciones de las librerías de Windows que usará durante el resto de la ejecución.
- Luego, El fichero de configuración del ransomware, donde se encuentran diversos parámetros relativos al cifrado y rescate, se extrae de los recursos del ejecutable.
- Hace una Inicialización de variables, tales como el identificador del usuario afectado.
- Por último el procedimiento principal donde se llevaría a cabo el proceso de cifrado de archivos.
El ransomware NetWalker inició sus operaciones en septiembre de 2019, pero no es hasta el 19 de marzo de 2020 cuando el usuario con el alias Bugatti reclutó a otros cibercriminales para unirse al grupo como parte de un modelo de negocio RaaS (Ransomware as a Service).
La muestra de ransomware NetWalker analizada ha sido distribuida utilizando un dropper desarrollado en Visual Basic Script (VBS), que se incluye como fichero adjunto en la campaña de spam.
Reforzar los sistemas de seguridad
En consecuencia, después de lo ocurrido el centro de Migraciones aseguró reevaluar su sistema de seguridad informática para verificar qué falló y cómo los cibercriminales vulneraron el sistema. Además, el director del departamento de Seguridad Informática, que estuvo 25 años en poder del cargo, fue despedido.
Fuente: