Ataque a Migraciones: venció el plazo y los ladrones publicaron información privada
La semana pasada, el Ministerio del Interior confirmó que sufrió un ciberataque de tipo ransomware, en el que un software malicioso encripta una serie de archivos y exige un pago para liberar la clave de acceso. En este caso, de 4 millones de dólares.
En su momento, en el Ministerio del Interior dijeron que aunque el blanco del ciberataque fue el Sistema Integral de Captura Migratoria, que opera en los pasos internacionales, lo que ocasionó demoras en el ingreso y egreso al territorio nacional, esto "no afectó la infraestructura crítica, ni la información sensible, personal o corporativa, que administra el organismo".
Migraciones reestablece sus servicios La Dirección Nacional de Migraciones (DNM), dependiente del Ministerio del Interior, informa que logró contener un intento de ciberataque al organismo, lo que ocasionó la caída de servicios, que se están restableciendo de manera paulatina.&— Migraciones (@Migraciones_AR) August 27, 2020
Sin embargo, los atacantes afirmaron lo contrario: le dieron un plazo a la Dirección Nacional de Migraciones a que pagara el rescate antes del 10 de septiembre, prometiendo publicar los datos (que copiaron además de cifrar).
El pago no apareció así que ahora toda la información está online, según publica Clarín: 1,8 gigabytes de datos disponibles en el sitio DropMeFiles, en un archivo comprimido y con una contraseña fácil de averiguar: 123456.
La advertencia
En las computadoras afectadas por el ransomware (llamado NetWalker) los malhechores dejaron una advertencia: "No traten de recuperar sus archivos sin un programa desencriptador, podrían dañarlos y dejarlos en condición de irrecuperables. Para nosotros esto son negocios y para probarles nuestra seriedad, les desencriptaremos un archivo sin costo. Abran nuestro sitio, suban el archivo encriptado y tendrán el archivo desencriptado gratis. Además, su información podría haber sido robada y si no cooperan con nosotros, se convertirá públicamente disponible en nuestro blog, fue el mensaje que habían dejado los ciberdelincuentes tras el ataque."
Junto con esto, publicaron una captura de pantalla de los contenidos copiados por el software; los expertos calculan que la infección pudo hacerse hasta dos meses antes de que se activara el ransomware, por lo que no está del todo claro cuánta información obtuvieron, más allá de los documentos internos de la Dirección Nacional de Migraciones que hicieron públicos.
En una denuncia presentada a la Justicia por el ciberataque, a la que pudo acceder LA NACION, en el Ministerio del Interior señaln que dieron con una publicación en la Deep Web en la que hay una "amenaza concreta de divulgación en la web de documentos y/o carpetas compartidas de usuarios y puestos de trabajo de la Dirección Nacional de Migraciones".