Después Arsat informó un ciberataque el 5 de diciembre, los ciberdelincuentes del grupo tocar publicó parte de la información robada con un ransomware a la empresa estatal de telecomunicaciones argentina.
Se trata de una banda de ciberdelincuentes que logran ingresar a sistemas de terceros y depositar este tipo de virus que encripta información, para luego solicitar una rescate por dinero. En lo que va de año han llevado a cabo exitosos ataques contra el poder judicial de cordobala cadena de electrodomésticos cetrogar y se cree que también fueron los autores del ciberataque a la Legislatura de la Ciudad de Buenos Aires.
consultado por Clarínla empresa aseguró que “los datos sustraídos carecen de valor estratégico o informativo ya que son los datos que la empresa reporta o debe reportar con base en el control de gestión”.
“Es decir, las compras, ventas y gastos están sujetos a revisión por parte de los organismos de control y muchos de ellos son públicos. De hecho, también están en manos de clientes y proveedores. La información que pueda afectar al estado nacional oa otros clientes de Arsat o su desempeño se encuentra debidamente protegida y segura”, explicaron.
La información, de hecho, había sido publicada en la cuenta oficial de Twitter de Arsat a principios de mes:
Sin embargo, con base en el análisis de la información publicada en el web oscuradonde se encuentra el blog de Play, parece haber más que información pública.
“En el caso de Arsat encontramos que el manifiesto menciona la Gerencia de Servicios Satelitales e incluye documentación financiera (Compras, Vales, Caja Chica, DDJJ, Facturas, Deudas), información del personal (contratos, cursos, licencias, vacaciones, horas extras, viajes y gastos cubiertos por la empresa, organigramas), y datos administrativos sobre los servicios prestados”, analiza Mauro Eldritch, analista de amenazas.
Esta información se deriva del análisis de los llamados “manifiestos” (archivos .txt generados por el grupo y que contienen la lista de nombres de archivos filtrados). “Estos archivos facilitan a los analistas la comprensión de la filtración sin tener que descargar grandes lotes de datos a través de Tor (que es lento y en muchas situaciones podría generar compromisos legales)”, explica.
“Por otro lado, el expediente también incluye información técnica, incluidas actas de diferentes reuniones, información sobre los proyectos ARSAT-1 y ARSAT-2 y otros programas, varios escaneos digitalizados, copias de correos electrónicos internos e incluso un archivo de texto sin formato llamado ‘Contraseña de regeneración de recibo‘, lo que indica una muy mala práctica en la gestión de claves”, añade.
Cómo opera Play y más víctimas: su radar, en Argentina
La banda de ciberdelincuentes Play se dio a conocer este año luego de cifrar el Poder Judicial de Córdoba y generar caos en el sistema, que en esa provincia está completamente digitalizado. Incluso se cree que el ataque ransomware a la Legislatura porteña también fue realizado por este grupo, con graves consecuencias como la pérdida de gran parte de los sistemas.
“El grupo tuvo unos inicios un tanto misteriosos, pues dejaron una brevísima nota de rescate de sólo dos líneas consignando la palabra ‘tocar‘ y una dirección de correo electrónico específica para que cada cliente se comunique. No fijaron un precio ni una cartera de pago. Prefirieron que el usuario se pusiera en contacto”, dice Eldritch.
“Entre otros actores importantes de la región como el Ministerio de Transporte y Obras Públicas de Uruguay (quienes ya no figuran, probablemente por el -retraso- en el pago del rescate)”, agrega el experto.
Su forma de operar es a través de la extorsión, de la misma forma que lo hacen los grandes jugadores del mercado. Secuestro de datos (Como Lockbit, artífice de la fuga masiva de Osde). Pero tiene ciertas particularidades.
“Play cifra la información en dos fases separadas, cada uno de los cuales utiliza un algoritmo diferente y genera una nueva clave para la segunda capa de cifrado. Esto puede tener que ver con lograr más velocidad en el proceso o como respaldo ante alguna debilidad en tu sistema”, dice Brett Callow, analista de seguridad de Emsisoft.
“El modelo de extorsión que utilizan es conocido en el medio: primero encriptan a la víctima y piden un rescate por la clave de encriptación. Si esto falla y no se llega a un acuerdo, el grupo publica los archivos filtrados para que cualquiera pueda acceder. El juego utiliza un cadena de ataque de extorsión (presionando más a la víctima a cada paso)”, completa Eldritch.
De hecho, también a principios de mes se supo que la cadena de electrodomésticos cetrogar Play lo había encriptado y filtrado en su totalidad. Esto generó, en la práctica, demoras en las entregas de productos, falta de recibos digitales y problemas de facturación.
“Cetrogar está entre las víctimas totalmente filtradas hoy (“Publicado Completo”), indicando que toda la negociación ha fallado. Esto culminó con la filtración de 67 GB de información de la empresa e incluye documentación personal de empleados, pasaportes, huellas dactilares, convenios, información financiera de clientes como planes de pago y cuotas, de proveedores e incluso expedientes que por su nombre indicarían ser claves. para terminales de pago o administración de locales”, enumera. Clarín contactó a la cadena de electrodomésticos, pero no obtuvo respuesta.
“En el caso de Arsat, actualmente se encuentra en una etapa preliminar a la fuga total, con solo 5 GB publicados. Play sostiene que si ‘no hay reacción de ARSAT’ irán por la filtración total”, explica.
Vale aclarar que Arsat tiene en su sitio web toda una sección dedicada a la transparencia institucional que es congruente con “el inciso a del art. 8 de la Ley 24156 la obligación de reportar incidentes de seguridad a la DNCIB para las entidades públicas”, explica el abogado especialista en ciberdelincuencia Daniel Monastersky.
“Así está en el artículo 7 de la Resolución Administrativa N° 641/2021. También en el Anexo que se aprueba por el artículo 1: ‘Directriz 12. Gestión de Incidencias’, en el último punto de este título se detalla que ‘en caso de que el incidente de seguridad haya afectado a activos de información y haya comprometido información y/o datos de terceros, tal hecho debe ser informado públicamente”, agregó.
Queda esperar para saber si con el pasar de los días este grupo publica más información sobre la empresa, en otro año que estuvo marcado por ataques de ransomware e incidentes de seguridad informática, donde desde el Senado de la Nación hasta gigantes como Mercado Free sufrieron las consecuencias. prácticas delictivas de diversos grupos de ciberdelincuentes.
SL
