Un grupo de ciberdelincuentes que ataca con ransomware tiene contra las cuerdas a dos gobiernos latinoamericanos. Por un lado, a Costa Rica, donde el recién electo presidente Rodrigo Chaves firmó un decreto en el que declaró la emergencia nacional de ciberseguridad tras sufrir un ataque informático. Y por el otro, Perú, donde la situación es extremadamente crítica.
Chaves, en Costa Rica, tomó medidas contra los ataques que recibieron varias instituciones de Gobierno en abril pasado. El 20 de abril, el grupo de ciberdelincuentes ruso Conti comunicó en su blog en la dark web que había hackeado 800 servidores del Ministerio de Hacienda de Costa Rica, pidiendo un pago de 10 millones de dólares para devolver los archivos del cifrado. Decían tener 1TB de información robada.
El Gobierno de Costa Rica reconoció la situación y confirmó que el incidente afectó al Ministerio de Hacienda en mayor medida, pero también a otras entidades como la Junta Administrativa del Servicio Eléctrico de la provincia de Cartago (Jasec); el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones; el Ministerio de Trabajo y Seguridad Social; así como al Instituto Meteorológico Nacional (IMN), a Radiográfica Costarricense (Racsa) y la Caja Costarricense del Seguro Social (CCSS).
El Gobierno de Chaves se negó a entablar un diálogo con el grupo, por lo que oficialmente no hubo negociaciones. Hasta el gobierno de Estados Unidos intercedió en la situación: informó el pasado viernes que ofrece una recompensa de hasta 15 millones de dólares por información que conduzca a la identificación de los miembros de Conti.
La nota de Estados Unidos ofreciendo una recompensa por Conti. Foto Dep. Estado de EE:.UU.
La nota que subió Conti a su blog en la Dark Web.En Perú, la situación es muchísimo más complicada. La banda de ciberdelincuentes subió en su sitio en la dark web una nota donde asegura que tiene acceso a infraestructura crítica, incluida la red de agua y electricidad.
“Todos los documentos descargados están clasificados como secretos. Trabajamos exclusivamente por dinero, no perseguimos otros objetivos”, dice la nota, según analizaron expertos en ciberseguridad.
🗣️ "¿Qué pasaría si cortamos el suministro eléctrico e hídrico del #Perú?"
— Mauro Eldritch 🏴☠️ (@MauroEldritch) May 10, 2022
🔌 En su comunicado, #Conti afirma tener acceso a infraestructura crítica.#Ciberseguridad #Ransomware #Seguridad #Defensa https://t.co/Pzhoo3zDWW
Qué es el ransomware y cómo opera
El ransomware se ha cobrado múltiples víctimas durante estos últimos años. Su nombre es un acrónimo de “programa de rescate de datos”: ransom en inglés significa rescate, y ware es un acortamiento de la conocida palabra software: un programa de secuestro de datos. El ransomware es un subtipo del malware, acrónimo de “programa malicioso” (malicious software).
Ahora bien, este tipo de programa actúa restringiendo el acceso a partes de nuestra información personal, o la totalidad. Y en general, los atacantes explotan esto para pedir algo a cambio: dinero.
Si bien algunos ransomware simples pueden bloquear el sistema de una manera simple, los más avanzados utiliza una técnica llamada extorsión “criptoviral”, en la que se encriptan los archivos de la víctima logrando que se vuelvan completamente inaccesibles.
Los ataques de ransomware generalmente son más específicos que el malware: los ciberdelincuentes apuntan a sistemas informáticos específicos que pertenecen a negocios corporativos y esto tiene que ver con que son víctimas más “jugosas” para sacarles dinero.
Una URL por Whatsapp de un contacto desconocido. Peor aún: una URL de un contacto conocido: el ransomware tiene múltiples formas de llegar y las históricamente más comunes están asociadas a programas que nosotros mismos instalamos.
Sobre Conti, los ciberdelincuentes
Rodrigo Chaves, presidente de Costa Rica. Foto EFEConti es, junto con REvil (desarticulada a principios de año), una de las bandas de ransomware más grandes del mundo. Este tipo de programas maliciosos encriptan información para pedir un rescate en dinero a cambio.
Durante la invasión de Rusia a Ucrania se desató una pelea interna en este grupo y un miembro anti-Rusia llegó a publicar chats internos de la organización que revelaron sus manejos y hasta sobornos a periodistas.
Además, les publicaron el “decrypter”, esto es, un programa para recuperar los datos robados que es el que suelen proveer ellos cuando les pagan el rescate.
Hace unas semanas volvieron a atacar, aún cuando se pensaba que la banda estaba desarticulada por peleas internas.
Entre sus víctimas más grandes se encuentran universidades de todo el mundo, Panasonic, el Banco Central de Túnez y hasta servicios de salud médicos.
Perú y Costa Rica son sus dos víctimas más resonantes.
Sobre la firma
Mirá también
Newsletter Clarín
Recibí en tu email todas las noticias, coberturas, historias y análisis de la mano de nuestros periodistas especializados
QUIERO RECIBIRLO