16.9 C
Misiones
HomeTecnologíaPublican parte de los datos robados a Arsat luego de ser encriptados...

Publican parte de los datos robados a Arsat luego de ser encriptados por un grupo de ransomware

Luego de que Arsat informara un ciberataque el pasado 5 de diciembre, los ciberdelincuentes del grupo Play publicaron una parte de la información robada con un ransomware a la empresa argentina de telecomunicaciones del Estado.

Se trata de una banda de ciberdelincuentes que logra entrar a sistemas de terceros y depositar este tipo de virus que encripta información, para luego pedir un rescate a cambio de dinero. En lo que va del año realizaron ataques exitosos al Poder Judicial de Córdoba, la cadena de electrodomésticos Cetrogar y se cree que también fueron los autores del ciberataque a la Legislatura de la Ciudad de Buenos Aires.

Consultada por Clarín, la empresa aseguró que “los datos que fueron sustraídos carecen de valor estratégico o informativo dado que son los datos que la empresa informa o debe informar en función de control de gestión”.

“Vale decir, las compras, ventas y gastos, son objeto de revisión de los organismos de control y muchos de ellos son públicos. De hecho están también en manos de los clientes y proveedores. La información que pueda afectar al estado nacional u otros clientes de Arsat o a su desempeño está debidamente resguardada y segura”, explicaron.

La información había sido, de hecho, publicada en la cuenta oficial de Twitter de Arsat a comienzos de mes: 

Sin embargo, a partir del análisis de la información publicada en la dark web, donde se encuentra el blog de Play, parece haber más que información pública.

“En el caso de Arsat encontramos que el manifiesto menciona a la Gerencia de Servicios Satelitales e incluye documentación financiera (Compras, Comprobantes, Caja chica, DDJJ, Facturas, Deudas), información de personal (contratos, cursos, licencias, vacaciones, horas extra, viajes y gastos cubiertos por la empresa, organigramas), y datos administrativos sobre servicios provistos”, analiza Mauro Eldritch, analista de amenazas.

Esta información se deriva del análisis de los llamados “manifiestos (archivos de extensión .txt que genera el grupo y que contienen la lista de los nombres de archivos filtrados). “Estos archivos facilitan a los analistas la comprensión de la filtración sin necesidad de descargar grandes lotes de datos vía Tor (lo cual es lento y en muchas situaciones podría generar compromisos legales)”, explica.

“Por otro lado el archivo lista información técnica también, incluyendo minutas de distintas reuniones, información de los proyectos ARSAT-1 y ARSAT-2 y otros programas, distintos escaneos digitalizados, copias de emails internos e incluso un archivo en texto plano llamado ‘Contraseña regeneración recibos’, lo cual indica una muy mala práctica sobre gestión de claves”, agrega.

Cómo opera Play y más víctimas: su radar, en Argentina Sede de Arsat en Lanús. Foto Juan Manuel Foglia La banda de ciberdelincuentes Play se hizo conocida este año luego de encriptar al Poder Judicial de Córdoba y generar un caos en el sistema, que en esa provincia está completamente digitalizado. Incluso se cree que el ataque de ransomware a la Legislatura porteña fue llevado a cabo también por este grupo, con graves consecuencias como la pérdida de gran parte de los sistemas.

“El grupo tuvo inicios algo misteriosos, ya que dejaban una ransom note muy escueta de tan solo dos líneas consignando la palabra ‘PLAY’ y una dirección de email específica para que cada cliente se contacte. No fijaban precio ni una wallet de pago. Preferían que el usuario se contacte”, cuenta Eldritch.

“Entre otros jugadores importantes de la región como el Ministerio de Transporte y Obras Públicas del Uruguay (quienes ya no están listados, probablemente debido al pago -tardío- del rescate)”, agrega el experto.

Su forma de operar es a través de la extorsión, de la misma forma en que lo hacen los grandes jugadores del mercado del ransomware (como Lockbit, artífice de la filtración masiva de Osde). Pero tiene ciertas particularidades.

“Play encripta información en dos fases separadas, cada una de las cuales usa un algoritmo diferente y genera una llave nueva para la segunda capa de encriptación. Esto puede tener que ver con lograr más velocidad en el proceso o como un respaldo contra alguna debilidad en su sistema”, arriesga Brett Callow, analista de seguridad de Emsisoft.

“El modelo de extorsión que usan es conocido en el ambiente: primero encriptan a la víctima y solicitan un rescate por la clave de encriptación. Si esto falla y no se llega a un acuerdo, el grupo publica los archivos filtrados para que cualquiera pueda acceder a ellos. Play utiliza una cadena de ataque extorsivo (poniendo más presión a la víctima en cada paso)”, completa Eldritch.

De hecho, también a principios de mes, se supo que la cadena de electrodomésticos Cetrogar había sido encriptada por Play y filtrada en su totalidad. Esto generó, en la práctica, demoras en las entregas de productos, falta de comprobantes digitales y problemas con la facturación.

“Cetrogar se encuentra hoy entre las víctimas filtradas totalmente (“Published Full”), indicando que toda negociación ha fallado. Esto culminó con la filtración de 67 GB de información de la compañía e incluye documentación personal de empleados, pasaportes, huellas digitales, acuerdos, información financiera de clientes como planes de pago y cuotas, de proveedores e incluso archivos que por su nombre indicarían ser claves para terminales de pago o de administración de locales”, enumera. Clarín se contactó con la cadena de electrodomésticos, pero no recibió una respuesta.

“En el caso de Arsat, está actualmente en una etapa preliminar a la filtración total, con solo 5 GB publicados. Play sostiene que si ‘no hay reacción de ARSAT’ irán por la filtración total”, explica.

Vale aclarar que Arsat tiene todo un apartado en su página web dedicado a la transparencia institucional que es congruente con “el inciso a del art. 8 de la Ley 24156 la obligación de reportar los incidentes de seguridad a la DNCIB para organismos públicos”, explica el abogado especializado en ciberdelitos Daniel Monastersky.

“Esto está en el artículo 7° de la Decisión Administrativa N° 641/2021. También en el Anexo que se aprueba por el artículo 1°: ‘Directriz 12. Gestión de Incidente’, en el último punto de este título se detalla que ‘en el caso en que el incidente de seguridad hubiere afectado activos de información y hubiere comprometido información y/o datos personales de terceros, se deberá informar públicamente tal ocurrencia’”, agrega.

Resta esperar para saber si con el paso de los días este grupo publica más información de la empresa, en un año más que estuvo signado por los ataques de ransomware y los incidentes en seguridad informática, donde desde el Senado de la Nación hasta gigantes como Mercado Libre sufrieron las prácticas delictivas de diversos grupos de ciberdelincuentes.

SL

Mas noticias
NOTICIAS RELACIONADAS