Operadores del ransomware NetWalker atacaron con éxito la Dirección Nacional de Migraciones, robando información y pidieron un rescate millonario para devolver los archivos, según denunció el propio organismo a través de su apoderada, María Eugenia Lachalde. El 27 de agosto pasado los delincuentes informáticos lograron romper los sistemas de seguridad  y ocasionaron una caída de los servicios, por lo que las autoridades decidieron en aquel momento suspender el tránsito de personas en las fronteras durante 4 horas para evitar errores, hasta que paulatinamente los servidores volvieron a funcionar.






Según una denuncia penal publicada por la agencia argentina de delitos informáticos, Unidad Fiscal Especializada en Ciberdelincuencia, el gobierno se enteró por primera vez del ataque de ransomware después de recibir numerosas llamadas de soporte técnico desde puntos de control aproximadamente a las 7 a.m. del 27 de agosto.

• FORMULA DENUNCIA PENAL

Our encryption algorithms are very strong and your files are very well protected, the only way to get your files back is to cooperate whit us and get the descrypter program.

“Aproximadamente a las 7 de la mañana del día señalado en el párrafo anterior, la Dirección de Tecnología y Comunicaciones adscrita a la Dirección General de Sistemas y Tecnologías de la Información de esta Organización recibió numerosas llamadas de diversos puestos de control solicitando apoyo técnico”.



Este se dio cuenta de que no era una situación ordinaria, por lo que se evaluó la situación de la infraestructura del Centro de Datos Central y Servidores Distribuidos, notando actividad de un virus que había afectado a los sistemas de archivos basados ​​en MS Windows (ADAD SYSVOL y SYSTEM CENTER DPM principalmente) y archivos de Microsoft Office (Word, Excel, etc.) existentes en los trabajos de los usuarios y carpetas compartidas ”, se lee en una traducción de la denuncia.

Para evitar que el ransomware infecte más dispositivos, se cerraron las redes informáticas utilizadas por las oficinas de inmigración y los puestos de control.



“El Sistema Integral de Captura Migratoria (SICaM) que opera en los pasos internacionales se vio particularmente afectado, lo que provocó demoras en el ingreso y salida al territorio nacional”, indicó la Dirección Nacional de Migración (DNM).

Fuentes gubernamentales dijeron que "no negociarán con los piratas informáticos y tampoco están demasiado preocupados por recuperar esos datos".

Netwalker exige un rescate de $ 4 millones

Cuando Netwalker realiza un ataque de ransomware, las notas de rescate se dejan en los dispositivos cifrados.

Estas notas de rescate contienen enlaces a un sitio de pago web que contiene información sobre cómo comprar un descifrador, la cantidad de dinero pedida por el rescate e información sobre los archivos no cifrados que fueron robados durante el ataque.




Desde una página de pago de Netwalker Tor los actores del ransomware inicialmente exigieron un rescate de 2 millones de dólares Después de que pasaron siete días, el rescate aumentó a $ 4 millones, o aproximadamente 355 bitcoins, como se muestra a continuación en la imagen de la página de rescate de la Dirección Nacional de Migraciones.

Monto del rescate

Este sitio Tor también incluye una página de 'Datos robados' que muestra una captura de pantalla de los datos robados de "Migraciones Argentina" durante este ataque.

¿Qué es Netwalker Ransomware?

Netwalker es una variedad de ransomware descubierta en septiembre de 2019, pero su marca de tiempo se remonta a finales de agosto. Inicialmente se creyó que eran cambios menores de Mailto (por la extensión que colocaba a los archivos) pero, desde entonces se ha establecido que es una versión actualizada de la misma. Mailto fue descubierto por el investigador independiente de ciberseguridad y usuario de Twitter GrujaRS, un coleccionador de ransomware. Poco después, Coveware descubrió un descifrador para el ransomware que indicaba que el nombre del desarrollador de la infección es Netwalker.

Los datos recopilados hasta ahora indican que el ransomware Netwalker fue creado por un grupo de delincuentes informáticos rusos. Esta facción en particular opera bajo el sobrenombre de Circus Spider y se encontraría activa desde mediados de 2019.

El concepto detrás de Netwalker es el de Ransomware-as-a-Service (RaaS), lo que significa que Circus Spider proporciona a otros las herramientas y la infraestructura para mantener archivos como rehenes a cambio de un pago de afiliado. El grupo publicó en foros rusos de la web oscura invitando a los ciberdelincuentes interesados ​​a asociarse y difundir el malware.

Este modelo de negocio malicioso no es nada nuevo, siendo utilizado principalmente por los actores detrás del ransomware GandCrab y su versión actualizada Sodinokibi. A los afiliados se les ofrece un recorte de hasta el 84% del pago si las ganancias de la semana anterior superan los U$S 300.000. Si las ganancias están por debajo de esta suma, aún pueden ganar fácilmente alrededor del 80% del valor total. El resto del 16-20% va al grupo detrás de Netwalker. A través de este método, los involucrados ganaron 25 millones de dólares en solo cinco meses a partir del 1 de marzo.

Sin embargo, unirse viene con su propio conjunto de reglas. Los afiliados tienen prohibido ir en contra de organizaciones ubicadas en la región de Rusia y la Comunidad de Estados Independientes. Además, se estipula que los colaboradores siempre deben devolver los archivos de las víctimas que pagaron el rescate. No obstante, esto nunca es una garantía cuando se trata de delincuentes informáticos ransomware.

Breve historia de NetWalker

Aunque Netwalker existe desde septiembre de 2019, su estado como una amenaza se hizo evidente alrededor de marzo de 2020, como se mencionó anteriormente. Los actores que emplearon el ransomware lograron colarse en las redes de grandes organizaciones incluso antes del cambio de táctica de abril.

Los ataques suelen tener como objetivo establecimientos que pertenecen a las siguientes cuatro categorías:

• proveedores de servicios de salud;
• instalaciones educativas;
• Gobiernos y organismos públicos;
• empresas privadas.

¿Cómo funciona Netwalker Ransomware?

Cuando Netwalker comenzó a ganar terreno entre los afiliados alrededor de marzo de 2020, su Modus-Operandi (MO) era lo suficientemente estándar. Los asociados distribuyeron el malware a través de correos electrónicos no deseados que atrajeron a las víctimas a hacer clic en enlaces de phishing e infectar las computadoras de su red. Su enfoque en el volumen masivo significaba que cualquiera corría el riesgo de convertirse en un objetivo.

Al operar en un modelo de RaaS, puede adaptarse rápidamente de acuerdo a situaciones recientes (como la pandemia). A fines de julio, se descubrió que el grupo explotaba las vulnerabilidades CVE-2019-11510 y CVE-2019-18935 (Pulse Secure VPN y Telerik respectivamente) y, a principios de mayo, se observó que el grupo estaba usando la inyección de biblioteca de vínculos dinámicos reflectantes (DLL) para infectar a las víctimas.  

A partir de abril de 2020, el ransomware Netwalker cambió su enfoque y solicitó que los afiliados hicieran lo mismo. Circus Spider comenzó a reclutar intrusos de red experimentados para identificar grandes objetivos como empresas privadas, hospitales o agencias gubernamentales, en lugar de usuarios domésticos individuales. Los atacantes obtuvieron acceso no autorizado a las redes de organizaciones más grandes mediante la manipulación de dispositivos VPN sin parches, contraseñas débiles en protocolos de escritorio remoto o puntos expuestos en aplicaciones web.
Desde entonces, NetWalker ha alcanzado una gran cantidad de objetivos diferentes, principalmente en países de Europa occidental y EE.UU. y ha quedado claro su preferencia por organizaciones más grandes en lugar de individuos. Por ejemplo, durante la pandemia de COVID-19, declararon claramente que los hospitales no serían atacados.

El ransomware agrega una extensión aleatoria a los archivos infectados y utiliza el cifrado Salsa20. Utiliza algunos trucos para evitar la detección, como una nueva técnica de evasión de defensa, conocida como la mencionada reflexión de DLL, para inyectar una DLL desde la memoria.

NetWalker prioriza la calidad sobre la cantidad y busca personas que hablen ruso y tengan experiencia con grandes redes. Se buscan especialmente las personas que ya tienen un punto de apoyo en la red de una víctima potencial y que pueden exfiltrar datos con facilidad. Esto no es sorprendente, considerando que la publicación de los datos de las víctimas es parte del modelo de NetWalker. El colectivo NetWalker, al igual que los que están detrás de Maze, REvil y otros ransomware, amenaza con publicar los datos de las víctimas si no se pagan los rescates. 




Fuentes:
https://blog.segu-info.com.ar/2020/09/que-es-netwalker-el-ransomware-que.html
https://www.infobae.com/politica/2020/09/05/la-direccion-nacional-de-migraciones-denuncio-que-un-grupo-de-hackers-robo-informacion-y-ahora-le-pide-un-rescate-millonario/