El reloj sigue corriendo. Cada segundo que avanza es uno que se pierde o que se deja correr en la pulseada que desde hace días protagonizan la Dirección Nacional de Migraciones y un grupo de ciberdelincuentes internacionales que el 27 de agosto pasado vulneraron las defensas del país y robaron información de computadoras de las oficinas que depende del ministerio del Interior.

Eso hizo que, durante más de tres horas, la Argentina quedara aislada del mundo. Nadie salió del país ni pudo entrar en ese lapso en el que se desconectó el sistema.

Ahora, a medida que esa cuenta regresiva llega a su fin, se conocen nuevos datos ya que un sitio especializado en seguridad informática confirmó que el ransomware Netwalker que lograron instalar en los sistemas demanda cerca de 4 millones de dólares de rescate. Es decir: cerca de 400 millones de pesos.

Si bien la primera cifra que trascendió era de 76 millones de dólares, especialistas en seguridad informática habían advertido que era un número excesivamente elevado para estos casos, y que probablemente estuviese más cerca de los 355 bitcoins que, ahora, se sabe que demandan los extorsionadores. Al día martes, es el equivalente a 3.541.753 millones de dólares. El jueces vence el plazo.

La información fue publicada el jueves de la semana pasada en un sitio de la deep web, donde puede observarse una cuenta regresiva para la liberación de la información.

“A través de un link de Netwalker accesible por Tor [un navegador de la deep web] podemos ver que la demanda inicial era de 2 millones de dólares. Luego del transcurso de siete días, subió a 4 millones, o cerca de 355 bitcoins, como se ve en la siguiente imagen de la página del ransomware de la Dirección Nacional de Migraciones”, escribió Lawrence Abrams en su página de seguridad informática Bleeping Report.

Abrams es experto informático y, en particular, de este tipo de software que infectó a Migraciones: ransomware, que suele pedir una suma de dinero a cambio de devolver la información secuestrada. Por cada extorsión, Netwalker genera un link para poder efectuar el pago.

El ataque y la denuncia

Desde el ministerio del Interior confirmaron a Clarín que la cifra del rescate oscila los 4 millones de dólares. Lo hicieron tras varios días en los que se mantuvo el hermetismo sobre el tema, tras la denuncia judicial que quedó a cargo del juez Sebastián Casanello.

El magistrado delegó la instrucción de la causa en el fiscal federal Guillermo Marijuán, que a su vez requirió la ayuda de la Unidad Fiscal Especializada en Ciberdelincuencia, Horacio Azzolin.

El magistrado delegó la instrucción de la causa en el fiscal federal Guillermo Marijuán, que a su vez requirió la ayuda de la Unidad Fiscal Especializada en Ciberdelincuencia, Horacio Azzolin. La denuncia marca que el virus afectó archivos de Windows (ADAD SYSVOL y SYSTEM CENTER DPM principalmente) y archivos de Microsoft Office (Word, Excel, etc.) de los puestos de trabajo y carpetas compartidas de los usuarios.

“Habiéndose detectado que los puestos de trabajo habían sido atacados impidiendo el normal funcionamiento para la atención al público, tanto en sedes administrativas, como en puestos de control, en forma preventiva se suspendieron los servicios de red a fin de impedir la propagación en los servidores, lo cual afectó la operatoria de las aplicaciones de la DNM”, agregó Migraciones, agregó Migraciones en la presentación, a la que tuvo acceso Clarín.

Un área sensible sufrió el ataque más que otras: Sistema Integrado de Captura Migratoria (SiCaM) que es utilizado en los pasos internacionales para detectar si personas buscadas por la Justicia intentan ingresar o huir de Argentina. 

La dependencia denunció al grupo de ciberdelincuentes por cuatro delitos:

–Extorsión, debido al reclamo de compra de un programa para desencriptar los documentos robados

–Daño agravado, por los perjuicios en los pasos fronterizos.

–Acceso ilegítimo a un sistema informático de acceso restringido, por la penetración en la red de la DNM.

–Y acceso ilegítimo a banco de datos personales, por el presunto robo y encriptación de archivos.

Lo consideraron un delito contra la Seguridad Pública, pero recalcaron que no se robó información cuya filtración sea sensible.

¿Qué robaron y encriptaron? Los atacantes solo exhibieron una captura con los archivos que habrían secuestrados. Es una captura de pantalla de varios ficheros con los siguientes nombres: 

- "ABM"
- "AFI"
- "CAJA"
- "CAPACITACIÓN INTERPOL"
- "CEDULA ARGENTINA"
- "CHINOS CORRIENTES"
- "CONSULADO DE COLOMBIA"
- "CONTRATOS"
- "DELEGACIÓN ENTRE RÍOS"
- "EMBAJADA DE EEUU"
- "EMBAJADA DE MÉXICO"
- "EMBAJADA DE RUMANIA"
- "EMBAJADA DE FILIPINAS"
- "ESCANER_GRANDE"
- "INFORME INTERPOL FLUJO MIGRATORIO"
- "INICIATIVA INTERNACIONAL DE ACELER…"
- "MEMO 31-15 RECUPERACIÓN DE DATOS"
- "MEMO 43-16 MOTA 37-15"
- "MEMO 281 - 15 AFRICANOS"
- "MEMO 293-15"
?- "MEMO 1461 - 2015".

“En la denuncia no se dice cuánta plata le pedían a Migraciones y la dependencia aclaró la información que se podía filtrar no era sensible”, explicó a Clarín Azzolin, titular de la Unidad Fiscal especializada en Ciberdelincuencia.

Su tarea, ahora y con ayuda de Prefectura, busca responder cómo fue que entró el ransomware a las redes del la Dirección Nacional que controla las fronteras.

Es un hecho que frenar la publicación de esa batería de datos que los hackers dicen tener sería imposible ya que todo se encuentra en el ámbito de la deep web, es decir tierra de nadie. 

Primer ransomware contra un país

Bleeping Report explica que si bien los ataques de ransomware no sólo son comunes sino que crecieron durante las respectivas cuarentenas que se decretaron en todo el mundo por el coronavirus, este sí sería el primer caso en el que el virus logra detener las operaciones de un país. En ese sentido es inédito.

“Es el primer caso conocido de este nivel. Suele haber ataques en una o dos computadoras de una entidad que son infectadas con ransomware, pero nunca algo con este nivel de virulencia, que entra a una máquina, escala en la red y toma el control de los servidores”, señalaron fuentes oficiales.

¿Podrá saberse quien está detrás del ataque y si hay una conexión local? Es difícil, ya que este tipo de organizaciones actúa de manera muy profesional.

Para ponerlo en una imagen sencilla de comprender: los atacantes se mueven como ladrones que entran con guantes para no dejar rastros de ADN y no como delincuentes comunes que dejan huellas en toda la escena del crimen.

Los investigadores buscan entender, también, qué tipo de "cepa" hace tan único al virus que atacó a Migraciones, que cuestión de minutos fue capaz de apoderarse de toda la red de computadoras de la Dirección.

Extorsiones por US$ 25 mil millones

Los números que embolsan los ciberdelincuentes son muy grandes. Partiendo de la idea de lo difícil que es estimar números exactos, un reporte de Emsisoft, empresa de seguridad informática especialista en destrabar ransomwares para la recuperación de información, estima que durante 2019 recaudaron más de 6 mil millones de dólares.

Y McAffe, que de marzo de 2020 hasta la fecha, aproximadamente, la pandilla de Netwalker recaudó cerca de 25 millones de dólares a fuerza de extorsiones.

Según Emsisoft un 33% de los extorsionados, pagan. Muchos después de negociar, como fue el caso de la Universidad de California en San Francisco.

Y pagan, muchas veces, por una razón: tiempo y falta de información.

“Sucede que calcular exactamente el alcance de un ataque y la cantidad de datos que se robaron no es nada fácil. Requiere una investigación forense que puede tardar varias semanas en completarse. Los delincuentes utilizan esta falta de claridad a su favor, y es una de las razones por las que suelen presionar para negociar rápidamente”, explicó a Clarín Brett Callow, de Emsisoft, al ser consultado por este incidente.

“Esperan que les paguen antes de que el blanco se de cuenta de que, en realidad, en muchos casos no robaron muchos datos”, agregó.

Además, hay un segundo factor tan importante como la demanda extorsiva de dinero: lo que se conoce como “costos por baja del servicio” (“downtime costs”): lo que le cuesta a la compañía afectada estar “offline” o prestar servicios limitados.

Considerando este parámetro, Emsisoft estima que los costos ascienden a casi 170 mil millones de dólares a nivel mundial.

Las reglas de Netwalker

The Netwalker gang, o la banda de Netwalker, es un grupo de ciberdelincuentes que se dedica a extorsionar a compañías e instituciones para obtener recompensas. Según una estimación de McAfee, llevan recaudados -por lo menos- 25 millones de dólares en lo que va de 2020.

“McAfee Advanced Threat Research (ATR) descubrió una gran cantidad de bitcoins vinculados a NetWalker, lo que sugiere que sus esfuerzos de extorsión son efectivos y que muchas víctimas no han tenido otra opción que sucumbir a sus demandas criminales”, explicó McAfee en un detallado reporte.

La cifra que comenzó a circular en torno a la demanda hecha por los ciberdelincuentes rondaba los 76 millones de dólares, incluso dentro de los pasillos de Migraciones. Pero el número sonaba sideral: la recompensa más alta jamás pedida en casos de este tipo, al menos de público conocimiento, tuvo como protagonista a la cantante Lady Gaga. Y fue de 42 millones de dólares.

Fue un ataque que se conoció en mayo pasado a la firma legal Grubman Shire Meiselas & Sacks, que tiene en su lista de clientes a la cantante, entre otras celebridades.

Tras el ataque al ministerio del Interior, la banda de Netwalker siguió publicando extorsiones. Desde el jueves de la semana pasada se sumaron compañías nuevas: Windward Software, Randolph Trucking, Stefanutti Stocks, The Silverlake Group, Cube Logic, Whitmore, MAinstream develops y CRE Credit Services, todas extorsionadas a cambio de dinero.

Los ciberdelincuentes que usan Netwalker tienen una serie de reglas:

–Los trabajos en contra de Rusia y los targets CIS [Centro de Seguridad de Internet] están prohibidos.

–Siempre devolvemos los archivos para los clientes [víctimas] que pagaron la desencriptación.

–La comunicación con el cliente es vía chat, también podemos ver sus correspondencias y podemos asistir en la comunicación.

También transparentan bien las tarifas que les pagan a sus reclutas:

–Desde USD 300.000 en siete días, para la semana siguiente el % de todos los pagos será de 16%.

–Por debajo de USD 300.000 en siete días, el % será del 20%.