el ataque de Secuestro de datos que sufrió el Poder Judicial de Córdoba el pasado viernes, dejó en el limbo a la Justicia de esa provincia. Desde entonces, el equipo de sistemas ha estado trabajando en medio del caos para recuperar la información secuestrada: cambios de contraseña, bloqueos de puertos USBsuspensión de correo electrónico Intercambio e interrupción de las comunicaciones entre los usuarios para prevenir la propagación del virus.
Esto complica el quehacer diario de la Judicatura Provincial, ya que tiene una peculiaridad: todo está digitalizado.
El impacto del ataque es severo, porque del sistema dependen los expedientes y las causas judiciales locales, pero también los trámites legales como certificados, órdenes oficiales y órdenes de pago (a peritos, abogados, beneficiarios de pensión alimenticia, entre otros).
Debido a este contexto, la Corte Superior de Justicia decretó no capacitado toda esta semana hasta el viernes y acceso restringido al Sistema de Gestión de Casos (SAC).
los Secuestro de datos es un tipo de programa que secuestra archivos, los encripta y solicita un pago para devolverlos. El pasado domingo, la Justicia cordobesa denunció el ataque, que alcanzó a algunos 8 mil usuarios del régimen interno y los cerca de 25 mil abogados registrados en la provincia.
En este caso se trataba de JugarCrypt“un actor de amenazas muy reciente que comenzó su actividad en junio de 2022 y transforma todas las extensiones de archivos de las víctimas en .DESEMPEÑAR”, explica Emmanuel Di Battista, analista de seguridad. De esta forma, los vuelve inaccesibles para que la víctima se vea obligada a negociar para recuperarlos.
Todo offline: cómo están funcionando
Directores de las áreas técnicas involucradas en la recuperación del atentado dijeron Clarín que las obras comenzaron durante el fin de semana largo: “Estamos levantando el la mayoría de los servicios básicos como la impresión, en los servidores a los que se ha accedido. No hay tráfico horizontal entre usuarios: recursos compartidos, puertos USB de todas las computadoras, el intercambio de correo, todo está bloqueado”.
“Lo primero que se hizo fue tratar de montar un servidor ‘limpio’ (sin virus), donde intentamos montar el directorio Activo y un par de reglas para eso el usuario recibió un mensaje al encender el equipo para cambiar la contraseña”, explicaron. les pidieron que usa una mas segura para entrar en los dominios sanos.
Uno de los puntos más sensibles tiene que ver con los expedientes de los casos y las órdenes de pago, dicen: “Todas las transferencias de fondos de las cuentas judiciales a los beneficiarios se dan a través de órdenes de pago electrónicas: si los servicios no están en línea, se corta completamente”.
Por ello, la Justicia de Córdoba emitió una resolución para trasladar estos trámites a papel físico. El problema, sin embargo, según le dijeron a Clarín fuentes de la justicia cordobesa, es que al no poder acceder al sistema los empleados de los diferentes fueros no pueden trabajar.
“Las colecciones se hacen desde una infraestructura interinstitucional con la Sistema bancario”, agregan, y califican la situación como “un golpe” a la SAC que está desconectada.
Por todo ello, el equipo de sistemas trabaja contrarreloj para solucionarlo, ya que PlayCrypt comprometió gran parte de la 260 servidores -entre físicos y virtualizados- que tiene el Poder Judicial de Córdoba. “Estamos en la fase de recuperación de desastresvamos dando pasos adelante y ya va por buen camino”, aclaran.
Tiempos: cuánto durará esta situación
los ataques de Secuestro de datos son un verdadero dolor de cabeza para las organizaciones institucionales. Tanto en el caso del Senado a principios de año como en el de Osde la semana pasada, ponen a prueba la robustez de los sistemas informáticos y las estrategias de seguridad informática.
En este sentido, los sistemas de Justicia de Córdoba fueron categóricos con dos elementos clave: “Tenemos copias de seguridad diariashasta el viernes a la hora del atentado”, dicen.
El segundo problema es que afirman tener la última versión del antivirus que utilizan en toda la red, Trend Micro. El vendedor local del software, Enrique Dutra, aseguró al medio local CBA24 que “la próxima semana se debe normalizar gran parte del sistema”. Sin embargo, esto es difícil de creer: resolver un ataque de ransomware puede llevar mucho tiempo.
“Los tiempos dependen del tamaño de la organización -que en este caso es estupendo-, de cuántos datos tienen que recuperar y qué hay que recuperar. Tal red puede transportar meses para volver a la normalidad”, explica Cristian Borghello, experto en seguridad informática. El ataque al Senado en enero, de hecho, requirió obras durante casi medio año hasta su total restauración.
En sintonía, del equipo de sistemas del Poder Judicial de Córdoba ellos son cautelosos:: “Hará falta muchas acciones técnicas juntas y que todo salga bien. Vamos subiendo la información poco a poco”, advierten.
En cuanto a cómo manejar estos incidentes, Borghello explica que es clave tener un plan de contingencia antes del ataque. “La buena práctica indica que una persona piensa mucho mejor cuando está tranquila y no bajo el estrés de un ataque de este tipo”, dice.
Ahora, una vez que eso ha sucedido, hay dos componentes críticos. “Lo primero que hay que hacer es recoger pruebas de por dónde pudo haber entrado: es fundamental encontrar el primer enlace de la cadena para luego cortar la cadena de contagio e iniciar un trabajo de recuperación”, agrega el consultor.
Y segundo, el copias de seguridad. “Para prevenir es clave tener copia de seguridad de la informacióntengo antivirus actualizado -no se porque Trend Micro no lo detecté – y sobre todo es fundamental segmento accesos a la red por niveles de importancia. No es lo mismo un director que un usuario normal o un administrador”, explica Borghello, quien junto a otros especialistas publicó un manual de actuación contra el ransomware.
Borghello recuerda que en el caso del ransomware la recomendación dice que no hay necesidad de pagar o negociar con los ciberdelincuentes. En la mayoría de los casos, las víctimas contactan a los atacantes para saber cuánto exigen.
PlayCrypt, un nuevo ransomware
Los grandes nombres del ransomware este año son Lockbit, Conti, Black Basta, ALPHV o Hive: Son bandas de ciberdelincuentes con un alto grado de organización y extorsión de las víctimas.
Estos grupos tienen su propio código malicioso y sus propias páginas web. web oscura para subir el material que roban, generalmente publicado cuando no logran quebrar a sus víctimas con un pago en criptomonedas.
El ransomware que ingresó la semana pasada a la Justicia de Córdoba es bastante diferente: es nuevo, simple, apunta principalmente a ventanas y registra muy pocos ataques.
“En este momento, hay al menos 5 notas de rescate con direcciones de correo electrónico únicas, lo que implica la existencia de al menos 5 víctimas en todo el mundo”, explica Di Battista, contra la versión oficial que circuló sobre el hecho de que sólo hay dos víctimas.
“Su nombre fue acuñado por primera vez por la firma de seguridad Trend Micro, debido a la extensión que utiliza para cifrar los archivos de las víctimas (“.DESEMPEÑAR”). Hasta entonces, de hecho, otras empresas de seguridad lo clasificaban como un ransomware genéricosin nombre”, desarrolla.
“Se caracteriza por dejar una nota de rescate (C:Léame.txt) muy breve -sólo dos líneas-, en la que sólo se indica el nombre del grupo “PLAY” y una dirección de correo electrónico, en su mayoría del proveedor GMX[.com] sin mayores detalles como monto del rescate o plazo de pago”, prosigue.
De hecho, a veces ni siquiera responden a estos correos electrónicos. “PlayCrypt intenta propagarse principalmente usando el protocolo SMB (carpetas compartidas) e intenta determinar la conectividad de la computadora usando los propios servidores de prueba de conectividad de PlayCrypt. microsoft”, continúa el analista de seguridad.
“Durante la infección, el ransomware descarga varios archivos en formatos aparentemente inocente (como .BMP, .PNG y .AVI entre otros), cuyos nombres implican que en realidad son instrucciones de ejecución: “correct.avi”, “join.avi”, “Breakpoint.png”, entre otros. Afortunadamente Los principales antivirus del mercado detectan Muestras de PlayCrypt sin mucho problema”, cierra Di Battista.
Incluso Microsoft Defender, el que viene con ventanastambién lo identifica.
Bajo este escenario, el caso tiene una gravedad institucional con pocos precedentes en Argentina: dependiendo del material que los ciberdelincuentes hayan cifrado, podrían publicar sentencias, documentos internos y datos personales de ciudadanía, como sucedió el año pasado con los datos filtrados de Renaper.
Además, si por alguna razón no se pudiera recuperar la información, los casos judiciales podrían perderse para siempre.
PJB
