zephyr_p - stock.adobe.com
Cómo Medusa atacó la Comisión Nacional de Valores de Argentina
El grupo de ransomware Medusa ha cobrado varias víctimas en lo que va de 2023 en países como Argentina, Bolivia, Brasil, Chile, Colombia y República Dominicana.
En un comunicado publicado el 11 de junio en el Portal del Estado Argentino, se confirmó que la Comisión Nacional de Valores (CNV) de ese país fue víctima de un ataque de ransomware por parte del grupo Medusa, que derivó en el cifrado de los archivos en los equipos infectados y en el robo de información.
Según la publicación, la entidad logró aislar y controlar el ataque que dejó fuera de servicio sus plataformas en línea. De acuerdo con lo que explicó la entidad, los datos robados por los cibercriminales son de carácter público. “La información tomada por los atacantes es la información de carácter público que los regulados cargan en la Autopista de Información Financiera, que es la principal vía de comunicación que la CNV mantiene con sus regulados”, aseguran en el comunicado.
Por su parte, el grupo de ransomware Medusa publicó en su sitio de la web oscura detalles del incidente y presionaron a la CNV para que pague un rescate de 500 mil dólares en Bitcoin, y de esta manera evitar la divulgación de más de 1,5 terabytes de información robada (documentos, bases de datos, etc.) y entregar un descifrador para recuperar los archivos cifrados. Vale destacar que el grupo adoptó una estrategia similar a la del ransomware LockBit en cuanto a incluir para cada una de las víctimas la posibilidad de pagar para extender por 24 horas la posibilidad de descargar la información robada, y también las opciones de pagar para eliminar los datos robados.
Si bien la CNV asegura que los datos a los que accedieron los atacantes es información pública, en su sitio los cibercriminales aseguraron que entre la información robada se incluye información sensible, como datos personales y credenciales.
“Es importante mencionar que este ataque a la CNV se suma a la lista de otros ataques de ransomware que han sufrido otras empresas y organismos de Argentina en lo que va de 2023. Los más recientes fueron el Instituto Nacional de Tecnología Agropecuaria y el ataque a la empresa Bizland, que afectó a la venta de medicamentos en farmacias y a una parte de la red de transporte en el país. A este escenario debemos sumar la cantidad de ataques de ransomware que se registraron en 2022 en Argentina y en la región, que no hacen más que demostrar que la actividad de los grupos de ransomware sigue siendo importante”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Medusa es un grupo de ransomware cuya actividad se hizo más notoria en 2023 con el lanzamiento de su sitio en la Red Onion. Al igual que muchos otros grupos de ransomware, allí el grupo publica los nombres de sus víctimas para extorsionarlas y amenazarlas con publicar información robada si no pagan. Este grupo de ransomware se caracteriza por dejar una nota de rescate mediante un archivo txt bajo el nombre !!!READ_ME_MEDUSA!!!txt , y por cifrar los archivos en los equipos comprometidos y cambiar su extensión por .MEDUSA, explica bleepingcomputer.
Fuentes de ESET mencionan que, en lo que va de 2023, el grupo afectó a empresas y organismos en distintas partes del mundo y en diversas industrias, desde organismos gubernamentales, empresas de tecnología y construcción, pasando por plataformas educativas, instituciones deportivas y universidades, entre muchas otras más.
En América Latina, el grupo se ha cobrado varias víctimas en lo que va de este año. Además de este ataque a la Comisión Nacional de Valores de Argentina, este ransomware fue el responsable del ataque a la empresa Garbarino del mismo país. Pero, además de Argentina, Medusa publicó en su sitio el nombre de compañías de Bolivia, Brasil, Chile, Colombia y República Dominicana.
Ransomware, de individuos a empresas
Leonardo Pigñer, CEO de Ekoparty, se refiere a la industrialización del crimen informático. “Esta vez le tocó a la CNV, pero son ataques que ocurren a diario. El ransomware, mediante el cual ‘secuestran’ y amenazan con exponer datos, se aprovecha de la desesperación de las víctimas. El ingreso pudo haber sucedido a través de software interno de la institución desactualizado o vía el clásico phishing, con un engaño a través de links de ingreso a los equipos”, afirma.
Desde Ekoparty explican que, al tratarse de información sensible de ciudadanos, las preguntas que las empresas y organizaciones deben hacerse son: ¿Qué medidas de protección se habían implementado? ¿Cuánto tiempo habría tomado detectar el ataque si no llegaba el pedido de rescate? Y si no lo hubieran publicado, ¿estaríamos hablando de este tema?
Estos casos son una buena oportunidad para tratar temas como la ciberseguridad, la necesidad de potenciar las prácticas de seguridad en las organizaciones y la oportunidad de formación que hay en el sector. “Allí se pone en relevancia el valor de la privacidad de la información, ya que el verdadero peligro, una vez filtrados los datos, es su uso para realizar fraudes, robo de identidad, sacar un crédito o cualquier otra forma de estafa, además de los detalles sobre las inversiones y la capacidad económica de los usuarios afectados”, explica Gutiérrez Amaya.
El referente de Ekoparty cuenta que medidas esenciales como el respaldo de datos, la actualización de sistemas e instalación de parches, la implementación de antivirus y firewall, y las buenas prácticas a la hora de descargar y compartir archivos pueden tener un gran impacto en la prevención y mitigación de este tipo de ataques.
Respecto de pagar o no la recompensa, Pigñer señala que, en general, se recomienda no pagar, ya que el pago del rescate alimenta este tipo de crimen y puede llegar a amplificarse.
“Además, si los atacantes ya consiguieron el acceso y la información, ¿qué les impide volver a ingresar al sistema o seguir extorsionando a la víctima? Lo mejor es recurrir a expertos en ciberseguridad y a las autoridades para seguir protocolos de respuesta a incidentes y recuperación de la información”, puntualiza Gutierrez Amaya, quien agrega que, para la manipulación del pago de estos rescates, en general, se utilizan criptomonedas, que permiten mover fondos desde diferentes puntos del mundo sin tener un dato preciso de quién es el dueño, y son difíciles de rastrear.
Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica, explica que, según los datos arrojados por la telemetría de ESET, en lo que va de 2023 fueron detectadas 4.200 amenazas únicas de tipo ransomware, lo que representa menos del 1 % de las amenazas vistas en ese mismo periodo (que son alrededor de 3,5 millones). “En este sentido, es superado por amenazas más masivas, como los troyanos o el phishing. Una tasa de detección tan baja no siempre significa que un grupo de amenazas desaparecerá o ya no sea el problema. Por el contrario, esto se condice con el cambio de paradigma del objetivo del cibercrimen: En vez de llegar masivamente a usuarios hogareños (que quizás no estén dispuestos a pagar grandes montos de dinero por su información), afectar a objetivos puntuales con información valiosa que atacar”, explica.
Los ataques de ransomware dirigidos suelen afectar especialmente a ciertos rubros corporativos, que se distinguen por la cantidad y calidad de información que tienen, o lo mucho que se apoyan en la confianza de sus clientes o usuarios como servicios financieros, de saludos, energía y servicios públicos, manufactureras y cadenas de suministro, además de entidades educativas.
De reaccionar a prevenir
Desde ESET explican que el concepto de sistema seguro ha ido cambiando a medida que evoluciona la tecnología y el cibercrimen. “En la actualidad, sabemos que la seguridad de la información se obtiene como resultado de una combinación de capas de protección cuidadosamente desplegadas. El aislado hecho de instalar una solución de seguridad no será suficiente por sí solo, ya que la superficie de exposición de las empresas y personas ha aumentado de manera drástica”, detallan.
López apunta que las organizaciones deben diseñar cuidadosamente los mecanismos de seguridad que necesitan implementar. Así, un correcto análisis de riesgo se traducirá en la instalación de soluciones de seguridad y herramientas efectivas. “Asimismo, la adquisición de tecnologías de protección debe verse acompañada de una buena gestión de la seguridad a través de políticas y de educación para los usuarios. Se deben diseñar planes para audiencias específicas, construirlos sobre los resultados esperados y pensarlos para ganar la atención de su público, buscando mantener a los distintos actores interesados en actualizarse”, detalla.
Las recomendaciones generales que sugiere ESET son:
- Mantener el software actualizado: Las actualizaciones pueden incluir parches de seguridad que corrijan vulnerabilidades que pueden ser aprovechadas por cibercriminales.
- Usar soluciones de seguridad confiables: Es fundamental tener instalado software antivirus, firewall y otras soluciones de seguridad confiables para protegerse contra el ransomware y otros ataques de malware
- Realizar copias de seguridad (backup) de forma regular: Tanto usuarios hogareños como organizaciones deben respaldar de forma regular todos sus datos y sistemas críticos. Es importante almacenar las copias de seguridad en un lugar seguro y fuera del equipo del cual se realizó la copia, así se mantiene lejos del alcance de los ciberdelincuentes.
- Educar a las personas: En el caso de las organizaciones, los empleados deben ser conscientes de los riesgos de ser afectados por un ransomware o por alguna otra amenaza informática. Las organizaciones deben proporcionar formación y educación a quienes trabajan internamente para sepan cómo reconocer correos electrónicos de phishing y otras técnicas utilizadas por los ciberdelincuentes para distribuir ransomware.
- Implementar políticas de seguridad sólidas: Las organizaciones deben implementar políticas de seguridad sólidas, incluyendo el uso de contraseñas seguras y la limitación del acceso a datos y sistemas críticos.
- Establecer un plan de respuesta a incidentes: Las organizaciones deben tener un plan de respuesta a incidentes para estar preparados en caso de un ataque de ransomware. El plan debe incluir los pasos a seguir para minimizar los daños y recuperar los datos de forma segura y rápida.
- Verificar la procedencia de los archivos adjuntos y enlaces: Tanto colaboradores de organizaciones como usuarios hogareños deben verificar la procedencia de los archivos adjuntos y enlaces antes de abrirlos o hacer clic en ellos, ya que pueden ser utilizados por los ciberdelincuentes para distribuir el ransomware.