Hackearon la CNV y sus datos sensibles: el Gobierno dice que está bajo control
El grupo Medusa exige US$ 500 mil. Desde la Comisión de Valores aseguran que el hackeo es limitado.
Un grupo de ciberdelincuentes asegura tener 1.5 TB (1.500 gigabytes) de información de la Comisión Nacional de Valores (CNV), el organismo oficial que supervisa los mercados en todo el país. Medusa, el mismo cártel de ransomware que encriptó datos de Garbarino en marzo de este año, pide 500 mil dólares y da un plazo de una semana para publicar los datos.
El ransomware es un tipo de programa malicioso (malware) que encripta la información de una víctima para pedir un rescate en dinero (criptoactivos) para devolver el acceso.
Además, si el usuario no paga, los datos se publican en la dark web para dañar la reputación de la entidad afectada.
Esta modalidad de delito creció durante los últimos años, sumando víctimas de todo el espectro público en el mundo. En Argentina, el Senado de la Nación, el Poder Judicial de Córdoba, la Dirección Nacional de Migraciones y distintos ministerios fueron afectados por ransomware. En el ámbito privado, OSDE, Ingenio Ledesma y, recientemente, la empresa que maneja el sistema de descuentos en las farmacias de todo el país (Bizland - Farmalink).
Durante la mañana de ayer el grupo Medusa subió a su sitio en la dark web el anuncio con la CNV como víctima.
Allí aseguran tener 1.5 TB de datos y solicitan de piso 500 mil dólares para no publicar la información.
Clarín se contactó por la mañana con la CNV, pero la entidad prefirió no hacer declaraciones. Varias horas después, emitió un comunicado en el que confirmaron que el ataque de ransomware ocurrió el pasado 7 de junio y que fue el grupo Medusa. Aseguran que la información tomada "es de carácter público" y que "realizarán una denuncia penal".
"Medusa lleva operando desde mediados de 2021, pero ha aumentado su nivel de actividad en los últimos meses. El grupo comparte los datos robados de múltiples formas: en la Dark Web, la clearnet [internet accesible a cualquier usuario], Twitter, Facebook y por Torrent", dijoBrett Callow, experto en análisis de amenazas de Emsisoft. "Tenemos pocos datos sobre quién está detrás de la operación o dónde tiene su sede, pero hay algunas pruebas que indican vínculos con Rusia o Ucrania", arriesgó.
Según Crowdstrike, Turquía sería otro país con el cual tienen vínculos.
"Medusa ha listado entre sus víctimas a petroleras, aeronáuticas, casinos, organismos públicos, clínicas, escuelas e iglesias. En Argentina listó a Garbarino y este domingo, a la Comisión Nacional de Valores cuyo sitio estuvo en mantenimiento hace tan sólo 72 horas atrás", explicó a Clarín Mauro Eldritch, analista de amenazas de Birmingham Cyber Arms.
Entre las distintas modalidades que tienen para operar, los criminales suben, un "file tree", esto es, la representación visual de los archivos y su jerarquía (carpetas, imágenes, PDFs, ejecutables, etc.). Allí se puede ver en la dark web una previsualización de la información robada.
"Analizando el filetree vemos que se trataría de una filtración que abarca 8 volúmenes: uno etiquetado como principal y 2 como bases de datos SQL. Allí se puede ver nombres que hacen referencia al BackOffice de Prensa, Bolsa de Reportes, Calificadoras, Fideicomisos, Fondos Comunes, ?Invertir?, RRHH, Registro, RESOL, CNV y CNVWeb, todas aludiendo también en su nombre que pertenecen a entornos de Producción", analizó el experto en amenazas.
"También hay nombres que refieren a información financiera, de recursos humanos, escaneos de documentos, y hasta planos en formato CAD. En los demás hay directorios que mencionan Informes de la DyEMC, Intranet de la CNV, Comité de Seguridad, Comunicación Interna, Denuncias, Directorio de Prensa, Fichas de Sociedades, GDE, mesa Fintech, Mercosur, e incluso información sobre CEDEARS", siguió.
Fuente: Clarín
