Se venció el plazo: ciberdelincuentes publicaron información privada robada de Migraciones

del organismo dependiente del Ministerio del Interior que sustrajo el 27 de agosto pasado en un ataque que dejó a los pasos fronterizos de Argentina desconectados del mundo por más de 3 horas.

El virus, llamado Netwalker, logró así meterse en los servidores del sistema de la DNM y copiar una inmensa cantidad de información que el Gobierno califica como “sensible pero no crítica”. Ahora, a través de un link, los datos están accesibles en una dirección de la dark web.

“Al igual que otros ransomware, NetWalker publica extractos de los datos robados en un llamado ‘sitio de filtración’. Si la víctima no paga, se publica la totalidad de los datos robados”, había explicado explicó a Clarín Brett Callow, analista de amenazas de la compañía de ciberseguridad Emsisoft, el jueves pasado cuando se confirmó que Migraciones había sido intervenido.

Si bien en la DNM se muestran tranquilos, debido a que cuando ocurrió el incidente desconectaron todo el sistema para prevenir que se siguiera diseminando, la cepa Netwalker de ransomware tiene una particularidad: no sólo secuestra información, sino que la copia. Es decir, los ciberdelincuentes tienen una copia de la información que pudieron sustraer, aunque Migraciones haya contenido el ataque.

Y hay otro dato preocupante: la información que Netwalker lleva puede abarcar un período hasta 56 días anterior al “deploy”, esto es, a que la víctima lo detecte. Con lo cual, no se sabe si Migraciones tiene del todo claro qué información le copiaron.

“No traten de recuperar sus archivos sin un programa desencriptador, podrían dañarlos y dejarlos en condición de irrecuperables. Para nosotros esto son negocios y para probarles nuestra seriedad, les desencriptaremos un archivo sin costo. Abran nuestro sitio, suban el archivo encriptado y tendrán el archivo desencriptado gratis. Además, su información podría haber sido robada y si no cooperan con nosotros, se convertirá públicamente disponible en nuestro blog”, fue el mensaje que dejaron los ciberdelincuentes tras el ataque.

Además, colgador una “prueba de vida” del secuestro. En la imagen que colgaron los ciberatacantes se ve una pantalla con 22 carpetas con los siguientes nombres: “ABM”, “AFI”, “CAJA”, “CAPACITACIÓN INTERPOL”, “CEDULA ARGENTINA”, “CHINOS CORRIENTES”, “CONSULADO DE COLOMBIA”, “CONTRATOS”, “DELEGACIÓN ENTRE RÍOS”, “EMBAJADA DE EEUU”, “EMBAJADA DE MÉXICO”, “EMBAJADA DE RUMANIA”, “EMBAJADA DE FILIPINAS”, “ESCANER_GRANDE”, “INFORME INTERPOL FLUJO MIGRATORIO”, “INICIATIVA INTERNACIONAL DE ACELER…”, “MEMO 31-15 RECUPERACIÓN DE DATOS”, “MEMO 43-16 MOTA 37-15”, “MEMO 281 – 15 AFRICANOS”, “MEMO 293-15”, “MEMO 1461 – 2015”.

Al principio pidieron 2 millones de dólares de rescate, pero tras una semana la cifra se duplicó a 4 millones de dólares. En el ministerio del Interior, que comanda Eduardo “Wado” De Pedro, del que depende Migraciones, denunciaron la extorsión ante la Justicia y fueron tajantes. “Pagar está descartado”, dijeron ayer a Clarín, al confirmar en exclusiva la negativa del Gobierno a transferir siquiera un dólar a NetWalker.

Lo inédito del ataque –es el primero en el mundo contra una dependencia de tan alta jerarquía gubernamental– hizo la la información se manejara a cuentagotas y eso generó confusión, ya que en un primero momento había transcendido que la organización pedía pedía 76 millones de dólares de recompensa, una cifra sideral teniendo en cuenta que el golpe más grande con un virus así fue de 42 millones de dólares, y había un multimillonario buffet de abogados norteamericanos en el medio.

El particular ataque contra el Gobierno Nacional despertó otra sospecha. ¿Hubo una pata local en el hackeo? Es la hipótesis que toma fuerza en Casa Rosada, donde marcan que el golpe responde a a un conflicto de intereses en torno a los datos personales que maneja migraciones. Una persona u organización acudió a Netwalker para contar con sus servicios y enviar un mensaje.

“Es la idea de ‘unidades de negocios’, en la que esta suerte de portal de la internet profunda [deep web] se usa para atacar un lugar direccionado. Se cuelga la protesta, luego el interesado se asocia con hackers de afuera y se realiza el ataque”, resumen fuentes oficiales. Es decir, salieron a buscar un “freelancer” de la ciberdelincuencia.

El gobierno acudió a la Justicia y denunció lo sucedido. La presentación judicial quedó en manos del juez Sebastián Casanello. El magistrado delegó la instrucción de la causa en el fiscal federal Guillermo Marijuán, que a su vez requirió la ayuda de la Unidad Fiscal Especializada en Ciberdelincuencia, Horacio Azzolin.

El magistrado delegó la instrucción de la causa en el fiscal federal Guillermo Marijuán, que a su vez requirió la ayuda de la Unidad Fiscal Especializada en Ciberdelincuencia, Horacio Azzolin. La denuncia marca que el virus afectó archivos de Windows (ADAD SYSVOL y SYSTEM CENTER DPM principalmente) y archivos de Microsoft Office (Word, Excel, etc.) de los puestos de trabajo y carpetas compartidas de los usuarios.

Un área sensible sufrió el ataque más que otras: Sistema Integrado de Captura Migratoria (SiCaM) que es utilizado en los pasos internacionales para detectar si personas buscadas por la Justicia intentan ingresar o huir de Argentina.

La dependencia denunció al grupo de ciberdelincuentes por cuatro delitos: extorsión, debido al reclamo de compra de un programa para desencriptar los documentos robados; daño agravado, por los perjuicios en los pasos fronterizos; acceso ilegítimo a un sistema informático de acceso restringido, por la penetración en la red de la DNM; y acceso ilegítimo a banco de datos personales, por el presunto robo y encriptación de archivos.

Lo consideraron un delito contra la Seguridad Pública, pero recalcaron que no se robó información cuya filtración sea sensible.

El ataque

El jueves de la semana pasada Clarín pudo confirmar con fuentes del Ministerio del Interior que el ransomware se encontraba activo. Si bien las acciones de ciberdelincuentes contra gobiernos e instituciones públicas son comunes, hay una particularidad que hace distinto a este ataque: no hay registros de ransomwares que hayan logrado detener las operaciones de un país.

Sucede que por cuestiones de seguridad, Migraciones desconectó el sistema para preservar la base de datos. Esto generó que durante tres horas los cinco puestos fronterizos terrestres, el aeropuerto de Ezeiza y la terminal de Buquebus estuvieran sin sistema y cerrados durante ese lapso. Nadie pudo entrar ni salir del país en esas horas, y eso fue por la culpa de Netwalker.

A pesar de que hay algunos ransomware que pueden ser desbloqueados, NetWalker no es uno de ellos. Y por eso ha sido tan exitoso: el grupo de hackers que lo usa logró recaudar 25 millones de dólares desde marzo de 2020.

Netwalker, un prolífico negocio a base de extorsiones

Netwalker es el nombre del ransomware, el tipo de virus que logra meterse en equipos particulares y sistemas para “llevarse” información y encriptarla. Si el atacado no tiene un backup, la única forma de recuperar la información es pagando. Hay un grupo de cibercriminales que utiliza Netwalker con bastante éxito: ya llevan recaudados -por lo menos- 25 millones de dólares en lo que va de 2020, según McAfee, compañía especialista en seguridad informática.

Según un reporte publicado por McAfee el jueves pasado, Netwalker está haciendo estragos: “McAfee Advanced Threat Research (ATR) descubrió una gran cantidad de bitcoins vinculados a NetWalker, lo que sugiere que sus esfuerzos de extorsión son efectivos y que muchas víctimas no han tenido otra opción que sucumbir a sus demandas criminales”, explican en su reporte.