Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Hackean CNV: Comisión Nacional de Valores de Argentina víctima de un ransomware


(CNV) Comisión Nacional de Valores de Argentina ha sido hackeada, en un caso de ransomware. Los ciberdelincuentes exigían USD 500.000 para devolver software y bases de datos secuestradas por medios cibernéticos. Han robado 1,5 Terabytes de información sobre cuentas de empresas y particulares en sociedades de bolsa

 



 

Ciberataque CNV en Argentina

  • La banda de ransomware Medusa asegura haber robado 1.5 terabytes de documentos y bases de datos.
  • Piden un monto de 500 mil dólares para no filtrar la información.

 

 

  Comisión Nacional de Valores (CNV) informó que el ataque lo aisló desde un primer momento y finalmente logró controlarlo. El ataque “fue realizado con un tipo de código malicioso del tipo ransomware, conocido como Medusa, que había tomado posesión de equipos informáticos y dejó fuera de línea las plataformas del organismo”, precisaron fuentes de la agencia estatal “encargada de la regulación, supervisión, promoción y desarrollo del mercado de capitales”, como afirma en su sitio en internet

 


“El protocolo de actuación permitió aislar los equipos y toda la comunicación con el exterior para evitar la propagación del código malicioso. Luego se iniciaron los trabajos para reestablecer los servicios de manera paulatina con el fin de lograr la operación plena, que aún continúa en proceso. La información tomada por los atacantes es la información de carácter público que los regulados cargan en la Autopista de Información Financiera, que es la principal vía de comunicación que la CNV mantiene con sus regulados”, afirmó la agencia estatal.


“Las emisiones y otros procedimientos iniciados por los regulados se están aprobando según las necesidades de cada requerimiento, dijo la CNV, que este lunes realizará la correspondiente denuncia penal para que la Justicia “investigue el origen y las responsabilidades del ataque”.


 Los 1,5 terabytes inicialmente mencionados en distintos foros y cuentas en redes sociales significan un volumen enorme de datos sobre personas y empresas que en la Argentina tienen cuentas e inversiones registradas a través de Agentes de Liquidación y Compensación (Alycs, antes más conocidas como Sociedades de Bolsa.



SecOps habló con Mauro Eldritch, analista de amenazas de Birmingham Cyber Arms, empresa de seguridad informática, y experto en interpretar la información encriptada por ciberdelincuentes. Acá, su análisis:

  • Analizando el filetree (árbol de ficheros publicado por el actor de ransomware) vemos que - en principio - se trataría de una filtración que abarcar 8 volúmenes: uno etiquetado como CNS_MAIN, 5 como FS -filesystems, volúmenes/discos- y 2 como SQL (bases de datos).

  • En los volúmenes etiquetados como SQL se listan bases de datos cuyos nombres referencian al BackOffice de Prensa, Bolsa de Reportes, CAFirmantes, Calificadoras, Fideicomisos, Fondos Comunes, Invertir, RRHH, Registro, RESOL, CNV y CNVWeb, todas aludiendo también en su nombre que pertenecen a entornos de Producción.

CNV afirma que la información robada es pública


Pero se demuestra lo contrario:

  • En el volúmen "MAIN" los nombres de directorios y archivos aluden a información financiera, de recursos humanos, escaneos de documentos, y hasta planos en formato CAD.

  • En los demás encontramos directorios que mencionan Informes de a DyEMC, Intranet de la CNV, Comité de Seguridad, Comunicación Interna, Denuncias, Directorio de Prensa, Fichas de Sociedades, GDE, mesa Fintech, Mercosur, e incluso información sobre CEDEARS.

  • Particularmente uno de los volúmenes contiene información crítica de seguridad sobre la infraestructura, mencionando Logs de Firewalls y Proxies, incluyendo uno de la DMZ de ARSAT.

  • Como cierre, una carpeta llamada "hola" lista archivos en texto plano (DOC, PDF, Excel) con claves del organismo.

Algunos especialistas dicen que entre los datos robados se encuentran:

  • Auditoría
  • Asuntos Jurídicos
  • Prevención de Lavado de dinero
  • Inspección e Investigación
  • Personal del Consejo de Administración de la CNV

Acerca del ransomware Medusa

Medusa es un grupo de ransomware cuya actividad se hizo más notoria en 2023 con el lanzamiento de su sitio en la Red Onion, donde al igual que muchos otros grupos de ransomware, publica los nombres de sus víctimas para extorsionarlas y amenazarlas con publicar información robada si no pagan.

Según explica bleepingcomputer, este grupo de ransomware se caracteriza por dejar una nota de rescate mediante un archivo txt bajo el nombre !!!READ_ME_MEDUSA!!!txt , y por cifrar los archivos en los equipos comprometidos y cambiar su extensión por .MEDUSA.

Es importante mencionar que en lo que va de 2023 el grupo afectó a empresas y organismos en distintas partes del mundo y en diversas industrias, desde organismos gubernamentales, empresas de tecnología y construcción, pasando por plataformas educativas, instituciones deportivas y universidades, entre muchas otras más.

En América Latina, el grupo se ha cobrado varias víctimas en lo que va de este año. Además de este ataque a la Comisión Nacional de Valores de Argentina, este ransomware fue el responsable del ataque a la empresa Garbarino del mismo país. Pero además de Argentina, Medusa publicó en su sitio el nombre de compañías de Bolivia, Brasil, Chile, Colombia y República Dominicana.

 

Fuentes:

https://www.argentina.gob.ar/noticias/la-cnv-aislo-y-controlo-un-ataque-informatico

https://www.infobae.com/economia/2023/06/11/al-cabo-de-4-dias-la-comision-nacional-de-valores-logro-aislar-y-controlar-un-ataque-informatico-y-manana-lo-denunciara-a-la-justicia/

https://juanbrodersen.substack.com/p/ransomware-a-la-cnv-exclusivo-que


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.