La intrusión se realizó con un programa malicioso llamado “Medusa”, que había colapsado las plataformas del organismo que regula el mercado de capitales en Argentina.
A 96 horas del ataque informático a la Comisión Nacional de Valores (CNV), el organismo informó que cercó y finalmente controló la acción de los cibercriminales. “El protocolo de actuación permitió aislar los equipos y toda la comunicación con el exterior para evitar la propagación del código malicioso”, indicaron desde el organismo que regula y supervisa el mercado de capitales en la Argentina.
“Luego se iniciaron los trabajos para reestablecer los servicios de manera paulatina con el fin de lograr la operación plena, que aún continúa en proceso”, agregaron.
Hackeo a la Comision Nacional de Valores: detalles del ataque informático y extorsión
Fuentes de CNV adelantaron que este lunes realizarán una denuncia penal ante la Justicia, con el fin de dilucidar el origen y las responsabilidades del ataque informático a sus sistemas informáticos. En tal escenario, ya se conocen algunos detalles del hackeo.
- Los atacantes emplearon un programa malicioso denominado “Medusa”, que vulneró los equipos de la CNV y frenó el normal funcionamiento de sus sistemas.
- Los piratas accedieron a 1.5 terabytes de datos del organismo.
- El ataque es del tipo ransomware, que consiste en el secuestro de información, sistemas y dispositivos, que se vuelven inaccesibles. Luego, los cibercriminales piden un rescate, habitualmente dinero, para liberar a sus presas.
- En este caso, exigieron a la CNV el pago de 500.000 dólares en un plazo de 7 días.
- En función de las normativas relativas a la gestión de incidentes de esta especie, los organismos deben informarlos en forma pública, tal como ocurrió.
Además, en línea con las recomendaciones de expertos y organismos internacionales, la CNV no respondió a las exigencias de los atacantes, una movida que si bien puede dinamizar la liberación de los datos incentiva este tipo de acciones delictivas.
Ataque a la CNV: ¿qué datos secuestraron los atacantes?
El volumen de información a la que accedieron los cibercriminales incluye datos de personas y empresas en Argentina, registradas a través de Agentes de Liquidación y Compensación, o sea, Sociedades de Bolsa. Si bien circularon capturas en algunos foros en línea, se espera que el proceso de investigación arroje más claridad al respecto.
¿Qué es Medusa?
Es un tipo de malware (software malicioso) que se ha usado anteriormente en ataques, cuyo origen y/o grupo responsable no son totalmente conocidos. Su uso se remonta al año 2015, cuando comenzó a ser ofrecido en las “alcantarillas de Internet”, la ya conocida “dark web”. Según especialistas en segurida informática, el programa nocivo añadió capacidades dañinas en 2017 y 2019, por ejemplo para ejecutar ataques de denegación de servicio (DDoS).
Nuevas variantes de Medusa son capaces de reiniciar servicios de terceros para permitir modificaciones, eliminar los procesos de seguridad, reiniciar equipos para evitar la acción de programas y escudos, barrer con copias de seguridad locales y cifrar los archivos de las víctimas, volviéndolos inaccesibles.
Tal como contamos anteriormente en TN Tecno, el ransomware es un ataque frecuente y persistente. Su acción aumenta en forma sostendida y actualmente se producen alrededor de 4000 hackeos a gran escala, todos los días, a nivel mundial. En ese marco, casi la mitad de las empresas víctimas de ciberdelincuentes informaron pérdidas y las amenazas de este tipo están más presentes que nunca, sinedo un modelo de negocio súper rentable para las organizaciones criminales.