Por: Martín Sieburger
Socio Net-Guard, reseller Gold
WatchGuard, República Argentina.
El ataque de ransomware dirigido a la Dirección Nacional de Migraciones (DNM), ocurrido el pasado 27 de agosto, vuelve a ser noticia, dado que se pudo confirmar que se trataba de NetWalker.
Los ciberdelincuentes exigen el pago de un millonario rescate ante la amenaza de publicar la información de la dependencia del Ministerio del Interior.
Funcionamiento
El ransomware es una forma de ciberdelito, considerado un método de ataque cada vez más común entre los piratas informáticos, utilizado para extorsionar a individuos, empresas y gobiernos por igual.
Si bien los primeros incidentes de ransomware se descubrieron en 2005, los últimos tres años han visto cómo este tipo de amenaza compromete a millones de computadoras y dispositivos móviles en todo el mundo.
Según informes del sector, el número de empresas que se transforman en blanco de ciberataques se multiplicó en el último período, lo cual se refleja en pérdidas económicas y comerciales.
Ante los cambios en el escenario mundial, los hackers últimamente han refinado sus acciones delictivas, explotando una de las preocupaciones más grandes de nuestra era: la pandemia producida por el Covid-19.
Es aquí donde surgen todos los interrogantes: ¿Quién es?, ¿Qué hace?, ¿Quién está detrás de esta arriesgada operación? y ¿Cómo podemos protegernos para no ser víctima de él?.
El código utilizado por los ciberdelincuentes en el ataque de la DNM fue el Netwalker, nombre de un software malicioso (malware) que encripta los archivos, quitándole al usuario el control de la información y los datos almacenados, bloqueando el sistema operativo. Luego, el atacante se dará a conocer con una demanda de rescate «oficial», a través de una ventana emergente, exigiendo el pago para recuperar el acceso al dispositivo o recibir la clave de descifrado de los archivos cautivos. Habitualmente, el pago se efectúa a través de una moneda virtual (bitcoins y criptomonedas), ya que éstas son difíciles de rastrear.
Si bien Netwalker está dando vueltas desde septiembre de 2019, recién a partir de marzo 2020 es tenido en cuenta como una amenaza real. Se calcula que, a través de los usuarios afectados por NetWalker, los hackers lograron introducirlo en las redes antes del mes de abril.
En junio de este año, los ciberdelincuentes pidieron a la Universidad de California un rescate de 3 millones, negociando finalmente 1.14 millones de dólares.
En tanto, el 28 de Julio, el FBI emitía un alerta en Ciberseguridad (Alert no. MI-000130-MW), detallando el funcionamiento de Netwalker. Sus principales blancos fueron organizaciones de salud, de educación, gubernamentales y organizaciones privadas.
NetWalker es una variante de un código detectado anteriormente, llamado Mailto, y según fuentes confiables, habría cambiado su nombre a fines del año pasado.
La información recabada por los especialistas en ciberseguridad hasta el momento indica que los creadores de esta variante pertenecen a un grupo de hackers rusos llamados Circus Spider.
El concepto técnico utilizado para describir este Ransomware es el de RaaS (Ransomware como servicio) de acceso cerrado, y significa que este grupo provee al, o los atacantes, con las herramientas e infraestructura necesarias para efectuar el ciberdelito.
El grupo publica en la DarkWeb a los interesados en utilizar dicho servicio, asociándose para poder distribuir el código.
Sin embargo, los hackers que quieran unirse a ellos deben cumplir con todos los lineamientos y reglas del grupo. Los afiliados tienen prohibido efectuar ataques en contra de organizaciones rusas o de países miembro de la Comunidad de Estados Independientes. Además, se encuentra estipulado la obligatoriedad de devolver la información una vez recibido el pago, aunque no ofrece ninguna garantía de que esto ocurra.