Se venció el plazo que habían dado los hackers que vulneraron el sistema informático de la Dirección Nacional de Migraciones y publicaron la información robada. La publicación se hizo en el blog de Netwalker (el nombre del software malicioso con que atacaron el sistema) en la dark web, tal como anticiparon los atacantes.

La interfaz del sitio de descarga donde filtraron la información está en ruso, lo cual va en línea con la hipótesis de que los desarrolladores o las cabezas detrás de Netwalker podrían ser de esa nacionalidad. Cabe señalar de todos modos que es un tipo de ransomware que se distribuye comercialmente de manera ilícita, con lo cual puede ser adquirido por cualquier atacante o grupo de atacantes de diferentes países para realizar ciberdelitos.

Netwalker es conocido como Ransomware as a service (Raas), así se denomina el tipo de ransomware que forma parte de una cadena de distribución. El que diseña el ransomware, lo pone a disposición de terceros para que lo puedan comprar como una herramienta a través de diferentes modelos de distribución. El desarrollador cobra por ese kit y multiplica las formas de infectar a las organizaciones.

En marzo de este año un usuario de internet que se hace llamar Bugatti “abría el juego” para que otros ciberdelincuentes se unieran al grupo como parte de un modelo de negocio RaaS, interesado en contratar personas de habla rusa.

Ahora bien, esto da cuenta del posible origen de las cabezas detrás de Netwalker, pero ¿quién lo podría haber adquirido y cómo ingresó al sistema de Migraciones? Desde la Casa Rosada ayer circulaba la sospecha de que el ataque al sistema informático podría haberse dado con ayuda interna.

Para afectar el sistema informático y secuestrar información el software malicioso Netwalker tuvo que haber recurrido, principalmente, a una de estas dos opciones: phishing o suplantación de identidad, que consiste en engañar a un usuario interno de la organización para que ingrese a un sitio en apariencia genuino pero que en realidad es fraudulento y deje sus credenciales de acceso. Con esos datos, el atacante logra obtener contraseñas que utiliza para entrar al sistema y plantar el software malicioso (malware) que cifra la información.

La otra opción es que un usuario interno de Migraciones o con acceso privilegiado a la infraestructura informática de la entidad haya sido quien plantó el malware. En este caso, entonces, el atacante no sería externo sino interno. Y ésta es una de las sospechas que crece en el seno de la Casa Rosada.

Los delincuentes encriptaron 22 carpetas con información que hace referencia a la AFI (Agencia Federal de Inteligencia), flujos migratorios, consulados y embajadas. Para este ataque utilizaron un software malicioso llamado Netwalker.

Habían pedido 4 millones de dólares de rescate para no dar a conocer públicamente los datos robados pero el Gobierno dijo desde un principio que no negociaría con los atacantes e hizo la denuncia penal por extorsión, daño informático y acceso ilegítimo.

Fuente: Infobae