Medusa publica los datos que dice que le robó a la CNV

Medusa publica los datos que dice que le robó a la CNV

El grupo de ransomware Medusa difundió 1,5 TB de información. Pedían un rescate de US$ 500.000.

Señas particulares. Medusa, grupo de ransomware, sumó en su sitio a la CNV.

El grupo de ransomware Medusa, que días atrás había identificado entre sus víctimas a la Comisión Nacional de Valores (CNV), finalmente publicó los datos sustraídos a la entidad que supervisa los mercados en la Argentina al vencerse el plazo para pagar el rescate.

A pesar de que en un comunicado oficial la CNV había asegurado que no había datos sensibles comprometidos, los 1,5 TB (1.500 gigabytes) de información que subieron demuestran lo contrario: hay una gran cantidad de documentos de carácter confidencial.

El ransomware es un tipo de programa malicioso (malware) que encripta la información de una víctima para pedir un rescate en dinero (criptoactivos) para devolver el acceso. Además, si el usuario no paga, los datos se publican en la dark web para dañar la reputación de la entidad afectada.

Crecimiento del ransonware

Esta modalidad de delito creció mucho durante los últimos años, sumando víctimas de todo el espectro público en el mundo. En Argentina, el Senado de la Nación, el Poder Judicial de Córdoba, la Dirección Nacional de Migraciones y distintos ministerios fueron afectados por ransomware. En el ámbito privado, OSDE, Ingenio Ledesma y, recientemente, la empresa que maneja el sistema de descuentos en las farmacias de todo el país (Bizland – Farmalink).

En el caso de los archivos robados a la CNV, Medusa había dado un plazo de una semana para pagar un rescate de 500 mil dólares que -evidentementeel organismo autárquico decidió no efectuar.

La semana pasada, tras la publicación del anuncio del hackeo en la dark web, Clarín se había comunicado con la CNV, pero la entidad prefirió no hacer declaraciones sobre la situación. Varias horas después emitieron un comunicado en el que confirmaron que el ataque de ransomware ocurrió el pasado 7 de junio y que fue el grupo Medusa. Aseguraron que la información tomada por los atacantes era «de carácter público» y que realizarían una denuncia penal.

Qué datos publicaron

«Medusa lleva operando desde mediados de 2021, pero ha aumentado su nivel de actividad en los últimos meses. El grupo comparte los datos robados de múltiples formas: en la Dark Web, la clearnet [internet accesible a cualquier usuario], Twitter, Facebook y por Torrent», contextualizó a este medio Brett Callow, experto en análisis de amenazas de Emsisoft. «Tenemos pocos datos sobre quién está detrás de la operación o dónde tiene su sede, pero hay algunas pruebas que indican vínculos con Rusia o Ucrania», arriesgó. Según Crowdstrike, Turquía sería otro país con el cual tienen vínculos.

“Medusa ha listado entre sus víctimas a petroleras, aeronáuticas, casinos, organismos públicos, clínicas, escuelas e iglesias. En Argentina listó a Garbarino y a la Comisión Nacional de Valores, cuyo sitio estuvo en mantenimiento”, explicó Mauro Eldritch, analista de amenazas de Birmingham Cyber Arms.

Entre las distintas modalidades que tienen para operar, los criminales suben, un “file tree”, esto es, la representación visual de los archivos y su jerarquía (carpetas, imágenes, PDFs, ejecutables, etc.). Allí se puede ver en la dark web una previsualización de la información robada.

“Analizando el filetree vemos que se trata de una filtración que abarca 8 volúmenes: uno etiquetado como principal y 2 como bases de datos SQL. Allí se puede ver nombres que hacen referencia al BackOffice de Prensa, Bolsa de Reportes, Calificadoras, Fideicomisos, Fondos Comunes, ‘Invertir’, RRHH, Registro, RESOL, CNV y CNVWeb, todas aludiendo también en su nombre que pertenecen a entornos de Producción”, analizó el experto en amenazas.

Información publicada

“También hay nombres que refieren a información financiera, de recursos humanos, escaneos de documentos, y hasta planos en formato CAD. En los demás encontramos directorios que mencionan Informes de la DyEMC, Intranet de la CNV, Comité de Seguridad, Comunicación Interna, Denuncias, Directorio de Prensa, Fichas de Sociedades, GDE, mesa Fintech, Mercosur, e incluso información sobre CEDEARS”, siguió.

Hay algunos nombres que también son preocupantes en cuanto a la seguridad de la información que maneja la CNV: “Particularmente uno de los volúmenes contiene información crítica de seguridad sobre la infraestructura, mencionando Logs de Firewalls y Proxies, incluyendo uno de la DMZ de ARSAT”.

“Como cierre, hay hasta una carpeta que lista archivos en texto plano (DOC, PDF, Excel) con claves del organismo”, cerró. Esto, de corresponderse con contraseñas, reviste una pésima práctica de seguridad informática: guardar contraseñas en archivos de texto. Los grupos de ransomware realizan una doble extorsión: primero, encriptan los datos para volverlos inaccesibles. Si la víctima tiene backup para recuperarlos, entonces la segunda amenaza aparece para exponer su reputación publicando todos los datos robados.

Medusa es muy particular a la hora de difundir la información

«Al igual que con el grupo Garbarino, una vez vencido el contador de tiempo, los datos no quedan automáticamente disponibles, sino que se habilita un botón que dispara un pop-up con una dirección de TOX (chat seguro utilizado por varios actores de la escena del ransomware)», cuenta Eldritch.

Usan otros canales de comunicación: «Como no es plausible transferir una filtración por esa vía e individualmente a cada parte interesada, utilizan también canales de Telegram donde, en forma bastante desprolija, comparten la información en forma de volúmenes comprimidos».

Cómo manejar el ransomware

“La Comisión Nacional de Valores es un organismo descentralizado de la Administración Pública. Como el Banco Central, habría que ver si están obligados en la Decisión Administrativa 641/2021 de requisitos mínimos de seguridad de la información, o si la implementaron de manera voluntaria”, detalló a este medio Marcela Pallero, Responsable del Programa STIC de la Fundación Sadosky.

“No obstante, por la regulación que ellos mismos tienen para algunos de sus regulados, se infiere que tienen personal que entienden de ciberseguridad. La pregunta sería si ellos mismos la aplican para su organismo (tienen una normativa desde 2017 sobre el tema)”, agrega la experta en regulaciones sobre seguridad de la información.

«Aunque no existe un manual de instrucciones de qué debería hacer una organización frente a un ataque de ransomware, sí hay pautas mínimas y mejores prácticas a adoptar al contexto de cada organización», complementa Jorge Litvin, Chief Cybersecurity Business Officer de Resguarda.

«Después de contener el ataque es importante resguardar la evidencia digital para hacer un análisis forense cuyas conclusiones permitan entender cómo sucedió el ataque. Es importantísimo que la organización sea clara y transparente al notificar el incidente, comunicación que no sólo debe ir dirigida a las autoridades, sino también a los titulares de los datos comprometidos», concluyó.

En ransomware es un tipo de programa malicioso que encripta datos de la víctima.

Medusa tiene entre sus víctimas a petroleras, líneas aéreas, clínicas, escuelas e iglesias.

Fuente: Clarín

Post Relacionados

Víctima del pesimismo bitcoin permanece en US$ 63.000

Víctima del pesimismo bitcoin permanece en US$ 63.000

Los supermercados comenzaron a ingresar productos importados hasta 75% más baratos

Los supermercados comenzaron a ingresar productos importados hasta 75% más baratos

Diez claves de la economía internacional

Diez claves de la economía internacional

Tokens runes de bitcoin ya están en exchange

Tokens runes de bitcoin ya están en exchange

Republic First Bank cerrado por reguladores de EEUU

Republic First Bank cerrado por reguladores de EEUU

Satoshi épico del halving de bitcoin en US$ 2,1 millones

Satoshi épico del halving de bitcoin en US$ 2,1 millones