Un ataque ransomware amenaza con publicar información privada de la Agencia Nacional de Seguridad Vial

Un nuevo ataque ransomware, de similares características al que sufrió Migraciones hace un mes, esta vez recayó en la Agencia Nacional de Seguridad Vial, dependiente del Ministerio de Transporte (y no la Dirección de Vialidad Nacional como informamos erróneamente). Según pudo saber LA NACION el ataque ocurrió hace más de una semana y, además de haber secuestrado los datos (archivos a los que no se pueden acceder), los delincuentes piden una suma de dinero para no publicar los datos en la Dark Web (o web profunda). El CERT, el organismo que tiene como objetivo estar preparado para dar respuesta a emergencias informáticas nacionales, trabaja hace más de una semana en los hechos.

En la captura de pantalla con la amenaza de publicación que se difundió, los atacantes pusieron algunas carpetas que, según DarkTracer, pertenecen al sitio argentina.gob.ar; sin embargo, esta información fue desmentida por distintas fuentes a las que consultó este medio. Todas, coincidieron, pertenecen a carpetas de la red interna de la Agencia, que "no va a abonar la cifra pretendida por los delincuentes" para evitar la filtración, aseguraron. Por ahora se desconoce el monto.

Entre las carpetas, se puede observar algunas recientes con fecha del 10 de noviembre. Los nombres que figuran son "Ejecución Plan 2020", "Lucha contra la Corrupción", "Plan 2021", "Plan de emergencia 2020", entre otras. Según el posteo, habría más de 50 GB de información, 27 veces más que en el caso de Migraciones.

El tipo de negocio de REvil, a diferencia de Netwalker (que ingresó en Migraciones) funciona como un servicio ("Ransomware as a service"), en el cual hay un grupo que se encarga del desarrollo (creación y mantenimiento del código) y otro de la distribución. También es conocido como "Sodinokibi".

Ante la preocupación por lo sucedido, dentro de las dependencias del gobierno a nivel nacional empezaron a reforzarse las recomendaciones entre todos los trabajadores: "Se sugiere incrementar el monitoreo sobre sistemas y redes. Mantener los sistemas operativos actualizados y deshabilitar servicios innecesarios. Revisar los procedimientos internos y políticas de seguridad. No abrir documentos adjuntos de remitentes desconocidos o documentos que no haya solicitado. Desactivar las macros en las aplicaciones de Microsoft Office. Realizar backup y controlarlo periódicamente. Actualizar las aplicaciones utilizadas y el sistema operativo. Restringir los privilegios administrativos a los sistemas operativos y apps en función de las tareas del usuario. Verificar y controlar los servicios de escritorio remoto (RDP)"

Desmentida oficial

Desde Innovación (del que depende el portal argentina.gob.ar) desmintieron que el ataque haya sido a su sitio. "En base a la captura, no vemos esa información en nuestra infraestructura, que por otro lado es pública: todo lo que tenemos está subido a la página, y por ejemplo no hay documentos de Word", señalaron. Hace 15 días, en el mismo sitio, la sección de carga de novedades habría presentado alguna vulnerabilidad que permitió inyectar un script de redirección. El inconveniente no entrañó compromiso de información ni de los datos de la página Web.

Este tipo de ataques ransomware se hicieron más visibles en los últimos meses. Empresas como Telecom, Cencosud, o el propio Migraciones fueron algunas de las víctimas. Ahora fue el turno de Vialidad.

Fácil y rápida. Esta es la recomendación de seguridad la NSA para proteger tu teléfono de un ciberataque

Según expertos. Cómo evitar ser estafado por medio de una llamada de teléfono

Hacker capturado. Fue víctima de un violento robo y ocho meses después fue detenido por una ciberestafa de $70 millones