En un comunicado publicado el 11 de junio en el Portal del Estado Argentino, confirman que la Comisión Nacional de Valores (CNV) fue víctima de un ataque de ransomware por parte del grupo Medusa que derivó en el cifrado de los archivos en los equipos infectados y en el robo de información. Según la publicación, la entidad logró aislar y controlar el ataque que dejó fuera de servicio sus plataformas online. ESET desde organismos gubernamentales, empresas de tecnología y construcción, pasando por plataformas educativas, instituciones deportivas y universidades, entre otras.

Según explica la CNV los datos robados por los cibercriminales son de carácter público. “La información tomada por los atacantes es la información de carácter público que los regulados cargan en la Autopista de Información Financiera, que es la principal vía de comunicación que la CNV mantiene con sus regulados”, aseguran en el comunicado.

Por su parte, el grupo de ransomware Medusa publicó en su sitio de la dark web detalles del incidente y presionan a la CNV para que pague un rescate de 500 mil dólares en Bitcoin y de esta manera evitar la divulgación de más de 1.5 terabytes de información robada (documentos, bases de datos, etc.) y entregar un descifrador para recuperar los archivos cifrados.

El plazo que dio el grupo fue hasta el domingo 18 de junio. El grupo adoptó una estrategia similar a la del ransomware LockBit en cuanto a incluir para cada una de las víctimas la posibilidad de pagar para extender por 24 horas la posibilidad de descargar la información robada, y también las opciones de pagar para eliminar los datos robados.

Si bien la CNV asegura que los datos a los que accedieron los atacantes es información pública, en su sitio los cibercriminales aseguran que entre la información robada se incluye información sensible, como datos personales y credenciales.

“Es importante mencionar que este ataque a la CNV se suma a la lista de otros ataques de ransomware que han sufrido otras empresas y organismos de Argentina en lo que va de 2023. Los más recientes fueron el Instituto Nacional de Tecnología Agropecuaria y el ataque a la empresa Bizland que afectó a la venta de medicamentos en farmacias y a una parte de la red de transporte en el país. A este escenario debemos sumar la cantidad de ataques de ransomware que se registraron en 2022 en Argentina y en la región, que no hacen más que demostrar que la actividad de los grupos de ransomware sigue siendo importante”, comentó Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de ESET Latinoamérica.

Medusa es un grupo de ransomware cuya actividad se hizo más notoria en 2023 con el lanzamiento de su sitio en la Red Onion. Al igual que muchos otros grupos de ransomware, allí el grupo publica los nombres de sus víctimas para extorsionarlas y amenazarlas con publicar información robada si no pagan. Este grupo de ransomware se caracteriza por dejar una nota de rescate mediante un archivo txt bajo el nombre “!!!READ_ME_MEDUSA!!!txt”, y por cifrar los archivos en los equipos comprometidos y cambiar su extensión por .MEDUSA, explica bleepingcomputer.

Desde ESET mencionan que en lo que va de 2023 el grupo afectó a empresas y organismos en distintas partes del mundo y en diversas industrias, desde organismos gubernamentales, empresas de tecnología y construcción, pasando por plataformas educativas, instituciones deportivas y universidades, entre muchas otras más.

En América Latina, el grupo se ha cobrado varias víctimas en lo que va de este año. Además de este ataque a la Comisión Nacional de Valores de Argentina, este ransomware fue el responsable del ataque a la empresa Garbarino del mismo país. Pero además de Argentina, Medusa publicó en su sitio el nombre de compañías de Bolivia, Brasil, Chile, Colombia y República Dominicana.

El ransomware será la principal amenaza para las empresas en 2023, y el ecosistema de este “virus” seguirá evolucionando y creciendo con grupos criminales más concentrados, reducidos y ágiles. Además la Inteligencia Artificial (IA) impulsara campañas de phishing, malware y operaciones que se ejecutan de forma totalmente automatizada.

En los últimos días: La Comisión Nacional de Valores, el INTA, la Superintendencia de Seguros y un proveedor de la industria farmacéutica, son solo algunos de los que han tomado estado público en apenas dos semanas. Durante 2022 registramos más de 100 casos en ARG, la tendencia aumenta en este 2023 y el espectro de víctimas se amplía. Cada vez son más frecuentes los incidentes que afectan infraestructura de misión crítica, servicios esenciales, logística, puertos y al comercio global generando pérdidas millonarias.

Los ataques son cada vez más sofisticados. Se registró la mayor afectación de datos de todos los tiempos, se multiplicaron el número de ataques de Zero-Day, malware, phishing y ataques de crypto-ransomware.

• 2022 registró un 50% MÁS de ciberataques de ransomware.
• 90% de todo el malware es enviado por correo electrónico.
• 6 Ataques de ransomware ocurren por minuto.
• En costo del ransomware será de u$s 42.000 millones a nivel mundial al final del 2024.
• 75% de las organizaciones serán víctimas más de 1 vez para el 2025.

El ransomware, los compromisos de correo electrónico y el uso delictivo de criptomonedas encabezan la lista de los ataques más comunes, por encima de las estafas virtuales y “cuento del tío”; robo de identidad, violaciones de datos personales, phishing Y estafas por WhatsApp.

El FBI anunció que las bandas de ransomware violaron las redes de más de 800 organizaciones de múltiples sectores de infraestructura crítica de EE. UU. durante 2022, aunque este número seguramente fue mayor. Guerra cibernética o no, el ransomware se ha disparado de forma alarmante.  El mundo está atravesando un nuevo nivel de guerra cibernética, pero mientras tanto, la mayoría de los piratas informáticos no necesitan ningún estímulo geopolítico. La misma banda de Ransom ataca a una PYME en Argentina y a la semana a la Agencia Impositiva de Corea del Sur.

Este espiral creciente de ciberataques sucede en simultaneo que la aceleración de los procesos de transformación digital en todas las industrias, al mismo tiempo que crece geométricamente la cantidad y variedad de ciberataques, incluyendo IT, OT y a los individuos, personas de a pié que hoy no, pero mañana se convertirán en víctimas.

Según especialistas en seguridad informática de Ekoparty, la conferencia técnica de ciberseguridad más grande y prestigiosa de América Latina, esto no es algo nuevo sino que se hace público algo que como especialistas vienen difundiendo hace años.

“La industrialización del crimen informático esta vez le tocó a la CNV, pero son ataques que ocurren a diario. El ransomware, mediante el cual ‘secuestran’ y amenazan con exponer datos, se aprovecha de la desesperación de las víctimas. El ingreso pudo haber sucedido a través de software interno de la institución desactualizado o vía el clásico phishing, con un engaño a través de links de ingreso a los equipos“, afirmó Leonardo Pigñer, CEO de Ekoparty.

“Al tratarse de información sensible de ciudadanos, las preguntas que debemos hacernos son: ¿Qué medidas de protección se habían implementado? ¿Cuánto tiempo habría tomado detectar el ataque si no llegaba el pedido de rescate? Y si no lo hubieran publicado, ¿Estaríamos hablando del tema?”, añadió.

“Estos casos son una buena oportunidad para tratar temas como la ciberseguridad, la necesidad de potenciar las prácticas de seguridad en las organizaciones y la oportunidad de formación que hay en el sector. Allí se pone en relevancia el valor de la privacidad de la información, ya que el verdadero peligro una vez filtrados los datos, es su uso para realizar fraudes, robo de identidad, sacar un crédito, o cualquier otra forma de estafa, además de los detalles sobre las inversiones y la capacidad económica de los usuarios afectados”, sentenció Pigñer.

“Medidas esenciales como el backup de datos, la actualización de sistemas e instalación de parches, implementación de antivirus y firewall, y buenas prácticas a la hora de descargar y compartir archivos, pueden tener un gran impacto en la prevención y mitigación de este tipo de ataques”, agregó.

¿Pagar o no la recompensa? “En general se recomienda no pagar, ya que el pago del rescate alimenta este tipo de crimen y puede llegar a amplificarse. Además, si los atacantes ya consiguieron el acceso y la información, ¿Qué les impide volver a ingresar al sistema o seguir extorsionando a la víctima? Lo mejor es recurrir a expertos en ciberseguridad y a las autoridades para seguir protocolos de respuesta a incidentes y recuperación de la información”, dijo Pigñer.

“Para la manipulación del pago de estos ‘rescates’ en general se utilizan criptomonedas, que permiten mover fondos desde diferentes puntos del mundo sin tener un dato preciso de quién es el dueño, y son difíciles de rastrear”, finalizó el CEO de Ekoparty.