Un grupo cibercriminal secuestró la base de datos de la Justicia de Chaco y ahora pide rescate
El domingo 9 de enero el poder judicial de Chaco emitió un comunicado en el que daban a conocer un ataque sufrido a sus servidores informáticos, en los que un software malicioso secuestró los datos guardados en ellos para luego pedir rescate. El ataque se lo adjudicó el grupo cibercriminal Ransomware Hive.
A partir de la intrusión se conformó un comité de crisis conformado por los Ministros del Superior Tribunal de Justicia, Secretarios de Superintendencia y Director de la Dirección de Tecnologías de la Información para analizar el nivel de afectación.
“El ataque no se limitó a la información sino que toda la infraestructura del Poder Judicial ha sido atacada. Implica en los hechos una revisión individual de cada uno de los servidores y de cada una de las máquinas de escritorio (más de 3.500 en toda la Provincia)”, detalla la última comunicación oficial enviada a los integrantes de la Justicia.
El ataque llevó a la suspensión de distintos servicios digitales indispensables para el funcionamiento del organismo como además servidores, internet, conexiones de red, conexiones VPN, correos oficiales y domicilios electrónicos. Hasta hoy siguen suspendidos.
Desde el reporte realizado por las empresas de seguridad contratada para hacer la revisión del daño, se menciona una inteligencia previa que hizo imposible la capacidad de enfrentar o de repeler el ataque. Sin embargo, expertos en seguridad cuestionan que haya sido así: “Para poder desencadenar el código tuvieron que encontrar una vulnerabilidad en la red. Ahí es donde la protección falló porque una vez que tienen acceso a la red y a un equipo, pueden pasar días o meses analizando la estructura en la que ingresaron hasta decidir ejecutar el malware”, afirma Martín Scattini de BTR Consulting.
Este grupo surge a mediados del 2021 y fue perpetrando ataques sobre todo en los Estados Unidos, puntualizando sobre empresas u organismos dedicados a la salud. El caso más resonante fue el de Memorial Health System, una red pequeña de tres clínicas, servicios de atención externa y proveedores. Esto llevó a que se cancelaran cirugías y que se filtraran datos de los pacientes, considerada información sensible.
Hive también estuvo detrás del ataque a MediaMarkt, empresa de venta minorista de productos electrónicos el pasado 8 de noviembre. Pidieron 240 millones de dólares por la información que sustrajeron bajo amenaza de publicarla en el sitio Hive Leaks, únicamente accesible a través de un navegador específico para la deep web.
Una vez que los equipos son infectados, todos los archivos aparecen con sus nombres cambiados, con números y símbolos y la terminación .hive. El sitio web PC Risk mostró una captura de cómo se ven estos archivos y también el texto en el que se explica cómo recuperar los datos.
Gustavo Saín, Director Nacional de Ciberseguridad, advirtió que el Ransomware se volvió una preocupación principal a partir de un aumento exponencial de casos en pandemia. “Los mismos son dirigidos pero los organismos públicos no son el principal objetivo de los extorsionadores, ya que ningún organismo público va a negociar con delincuentes ni pagar rescate para liberar los sistemas”, explicó y agregó que desde el CERT asistieron al Poder Judicial de Chaco. Hasta esta hora, los backups habían podido ser restaurados en gran medida.
