Institución estatal sufre ataque de ransomware

El incidente de seguridad afectó el funcionamiento de los sistemas del Servicio Nacional del Consumidor, manteniendo el sitio web con problemas por más de seis días. Así mismo lo informó la agencia del estado a través de su cuenta de twitter, detallando que su plataforma de atención estaba caído y que junto al CSIRT estaban […]

El incidente de seguridad afectó el funcionamiento de los sistemas del Servicio Nacional del Consumidor, manteniendo el sitio web con problemas por más de seis días.

Así mismo lo informó la agencia del estado a través de su cuenta de twitter, detallando que su plataforma de atención estaba caído y que junto al CSIRT estaban investigando el caso.

El Equipo de Respuesta ante Incidentes del gobierno profundizó sobre el ciberataque en un comunicado, informando que fueron víctimas de un ransomware.

La naturaleza del incidente corresponde a un ransomware que afectó servidores Microsoft y VMware ESXi en redes corporativas de la institución

CSIRT de Gobierno.

Además explican que ”como resultado de la infección, los archivos asumen la extensión “.crypt”.

”Posteriormente, el atacante toma control completo del sistema de la víctima y deja un mensaje de rescate informando la cantidad de datos secuestrados, ofreciendo un canal de comunicación y un ID específico para contactarse con ellos”.

”El atacante da un plazo de tres días para comunicarse, de lo contrario amenaza con impedir que los datos sean accesibles para la organización y poner estos activos a la venta a terceros en la darkweb”.

”El ransomware utilizaría el algoritmo de cifrado de clave pública NTRUEncrypt, dirigido a archivos de registro (.log), archivos ejecutables (.exe), archivos de bibliotecas dinámicas (.dll), archivos de intercambio (.vswp), discos virtuales (.vmdk), archivos de instantáneas (.vmsn) y archivos de memoria (.vmem) de máquinas virtuales, entre otros”.

A través del comunicado, también se informa que el programa malicioso tiene capacidades de infostealer (ladrón de información), enumera dispositivos de extracción como HDD y pendrives y posee capacidades de evasión de antivirus con timeout.

Si bien la plataforma de atención se ha habilitado de forma paulatina, la agencia estatal insta a usar la vía telefónica y oficinas.

¿Cómo funciona el ransomware?

Los ataques de este tipo están en alza los últimos años, afectando diversas industrias alrededor del globo. En una entrevista otorgada a Meganoticias, Fernando Lagos explicó que este tipo de malware ”afecta a los equipos y secuestra la información, luego la cifra y, para descifrarlas, te cobran. Si tú no pagas, pierdes la información”, dice.

En concordancia con lo expuesto por el CSIRT, el director de NIVEL4 agrega que ”los ciberdelincuentes suelen extorsionar con publicar la información si no se accede a sus demandas. Cuando ello ocurre, cualquier persona puede acceder a los datos internos de los sistemas públicos en Internet -por ejemplo a denuncias o  información reservada del funcionamiento del organismo-  y a los datos personales de los usuarios de estos sistemas, incluyendo, por ejemplo, contraseñas o direcciones particulares”.

Revisa acá el informe emitido por el CSIRT.