A cuatro días de un ataque informático perpetrado el miércoles 7 de junio, la Comisión Nacional de Valores (CNV) informó hoy que lo aisló desde un primer momento y finalmente logró controlarlo.
inicia sesión o regístrate.
A cuatro días de un ataque informático perpetrado el miércoles 7 de junio, la Comisión Nacional de Valores (CNV) informó hoy que lo aisló desde un primer momento y finalmente logró controlarlo.
El ataque “fue realizado con un tipo de código malicioso del tipo ransomware, conocido como Medusa, que había tomado posesión de equipos informáticos y dejó fuera de línea las plataformas del organismo”, precisaron fuentes de la agencia estatal “encargada de la regulación, supervisión, promoción y desarrollo del mercado de capitales”, como afirma en su sitio en internet
Ransomware es la contracción de las palabras en inglés ransom (rescate o recompensa que se exige tras un secuestro) y software, que sería la “cosa” secuestrada.
Para liberar 1,5 terabytes de información secuestrada y vuelta inaccesible a la CNV, los atacantes exigían un rescate de USD 500.000, dándole a la agencia un plazo de 7 días para satisfacer el pedido.
“El protocolo de actuación permitió aislar los equipos y toda la comunicación con el exterior para evitar la propagación del código malicioso.
Luego se iniciaron los trabajos para reestablecer los servicios de manera paulatina con el fin de lograr la operación plena, que aún continúa en proceso.
La información tomada por los atacantes es la información de carácter público que los regulados cargan en la Autopista de Información Financiera, que es la principal vía de comunicación que la CNV mantiene con sus regulados”, afirmó la agencia estatal.
“Las emisiones y otros procedimientos iniciados por los regulados se están aprobando según las necesidades de cada requerimiento, dijo la CNV, que este lunes realizará la correspondiente denuncia penal para que la Justicia “investigue el origen y las responsabilidades del ataque”.
La información sobre el ataque había sido difundida originalmente por Dark Feed, una firma de inteligencia y ciberseguridad especializada en la prevención de ransomware.
Los 1,5 terabytes inicialmente mencionados en distintos foros y cuentas en redes sociales significan un volumen enorme de datos sobre personas y empresas que en la Argentina tienen cuentas e inversiones registradas a través de Agentes de Liquidación y Compensación (Alycs, antes más conocidas como Sociedades de Bolsa.
Medusa
No está claro, por otra parte, si Medusa es un grupo de ataque o un tipo de virus de malware o ransomware, que puede ser usado por diferentes organizaciones.
Ante casos de ransomware la recomendación usual es no pagar el rescate exigido, para no incentivar el delito y porque el pago tampoco asegura la recuperación completa de archivos y sistemas.
Hay sitios de ayuda fusionados con Europol u organizaciones similares que proveen parches de seguridad que pueden resolver ataques recuperando la información secuestrada.
¿Qué es ransomware?
El malware de rescate, o ransomware, es un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para poder acceder de nuevo a ellos.
Las primeras variantes de ransomware se crearon al final de la década de los 80, y el pago debía efectuarse por correo postal. Hoy en día los creadores de ransomware piden que el pago se efectúe mediante criptomonedas o tarjetas de crédito.
¿Cómo puede infectarse?
El ransomware puede infectar su ordenador de varias formas. Uno de los métodos más habituales actualmente es a través de spam malicioso, o malspam, que son mensajes no solicitados que se utilizan para enviar malware por correo electrónico. El mensaje de correo electrónico puede incluir archivos adjuntos trampa, como PDF o documentos de Word.
También puede contener enlaces a sitios web maliciosos.
El malspam usa ingeniería social para engañar a la gente con el fin de que abra archivos adjuntos o haga clic en vínculos que parecen legítimos, aparentando que proceden de una institución de confianza o de un amigo.
Los ciberdelincuentes emplean la ingeniería social en otros tipos de ataques de ransomware, por ejemplo presentarse como el FBI para asustar a los usuarios y obligarles a pagar una suma de dinero por desbloquear los archivos.
Otro método de infección habitual, que alcanzó su pico en 2016, es la publicidad maliciosa.
La publicidad maliciosa consiste en el uso de publicidad en línea para distribuir malware con poca interacción por parte del usuario o incluso ninguna.
Mientras navegan por la web, incluso por sitios legítimos, los usuarios pueden ser conducidos a servidores delictivos sin necesidad de hacer clic en un anuncio.
Estos servidores clasifican los detalles de los ordenadores de las víctimas y sus ubicaciones y, a continuación, seleccionan el malware más adecuado para enviarlo. Frecuentemente, ese malware es ransomware.