Gli hacker aggiungono la National Securities Commission alla loro lista di vittime: dicono di avere dati sensibili

Il gruppo ransomware Medusa ha pubblicato un elenco con 1TB di informazioni. Danno una settimana per pagare $ 500.

Un gruppo di criminali informatici afferma di avere 1,5 TB (1.500 gigabyte) di informazioni dalla National Securities Commission (CNV), l’organismo ufficiale che supervisiona i mercati in tutto il paese. Medusa, lo stesso cartello ransomware che ha crittografato i dati di Garbarino nel marzo di quest’anno, chiede $ 500.<> e dà una scadenza di una settimana per pubblicare i dati.

Il ransomware è un tipo di programma dannoso (malware) che crittografa le informazioni di una vittima per richiedere un riscatto in denaro (criptoasset) per restituire l’accesso. Inoltre, se l’utente non paga, i dati vengono pubblicati sul dark web per danneggiare la reputazione dell’entità interessata.

Questo tipo di crimine è cresciuto negli ultimi anni, aggiungendo vittime da tutto lo spettro pubblico del mondo. In Argentina, il Senato Nazionale, la Magistratura di Córdoba, la Direzione Nazionale della Migrazione e diversi ministeri sono stati colpiti dal ransomware. In ambito privato, OSDE, Ingenio Ledesma e, recentemente, la società che gestisce il sistema di sconti nelle farmacie di tutto il territorio nazionale (Bizland – Farmalink).

Durante la mattinata di questa domenica, il gruppo Medusa ha caricato sul suo sito sul dark web l’annuncio con la CNV come vittima. Lì affermano di avere 1,5 TB di dati e chiedono 500 mila dollari per non pubblicare le informazioni.

Clarín ha contattato il CNV, ma l’entità ha preferito non commentare la situazione al momento della pubblicazione di questo articolo. Diverse ore dopo, hanno rilasciato una dichiarazione in cui hanno confermato che l’attacco ransomware si è verificato il 7 giugno e che si trattava del gruppo Medusa. Hanno assicurato che le informazioni raccolte dagli aggressori “sono di natura pubblica” e che presenteranno una denuncia penale.

“Medusa è operativa dalla metà del 2021, ma ha aumentato il suo livello di attività negli ultimi mesi. Il gruppo condivide i dati rubati in diversi modi: sul Dark Web, la clearnet [internet accessibile a qualsiasi utente], Twitter, Facebook e Torrent”, ha contestualizzato Brett Callow, esperto nell’analisi delle minacce di Emsisoft.

“Abbiamo pochi dati su chi c’è dietro l’operazione o dove ha sede, ma ci sono alcune prove che indicano collegamenti con la Russia o l’Ucraina”, ha detto. Secondo Crowdstrike, la Turchia sarebbe un altro paese con cui hanno legami.

“Medusa ha elencato tra le sue vittime compagnie petrolifere, aeronautiche, casinò, enti pubblici, cliniche, scuole e chiese. In Argentina ha quotato Garbarino e questa domenica, la National Securities Commission il cui sito era in manutenzione solo 72 ore fa”, ha detto a Clarín Mauro Eldritch, analista delle minacce di Birmingham Cyber Arms.

Tra le diverse modalità che hanno per operare, i criminali caricano, un “albero dei file”, cioè la rappresentazione visiva dei file e la loro gerarchia (cartelle, immagini, PDF, eseguibili, ecc.). Lì puoi vedere sul dark web un’anteprima delle informazioni rubate.

“Analizzando il filetree vediamo che si tratterebbe di una perdita che copre 8 volumi: uno etichettato come principale e 2 come database SQL. Lì puoi vedere nomi che fanno riferimento a Press BackOffice, Reporting Exchange, Agenzie di rating, Trust, Common Funds, ‘Invest’, HR, Registry, RESOL, CNV e CNVWeb, tutti alludendo anche nel loro nome che appartengono ad ambienti di produzione”, analizzato l’esperto di minacce.

“Ci sono anche nomi che si riferiscono a informazioni finanziarie, risorse umane, scansioni di documenti e persino piani in formato CAD. Negli altri troviamo directory che menzionano DyEMC Reports, CNV Intranet, Security Committee, Internal Communication, Complaints, Press Directory, Company Files, GDE, Fintech table, Mercosur e persino informazioni su CEDEARS “, ha continuato.

Ci sono alcuni nomi che preoccupano anche in termini di sicurezza delle informazioni gestite dall’NVC: “In particolare uno dei volumi contiene informazioni critiche sulla sicurezza dell’infrastruttura, menzionando Log di Firewall e proxy, tra cui uno della DMZ ARSAT”.

“Come chiusura, c’è anche una cartella che elenca i file in testo normale (DOC, PDF, Excel) con le chiavi dell’organismo”, ha chiuso. Questo, se corrisponde alle password, è una cattiva pratica di sicurezza del computer: salvare le password in file di testo.

Il fatto che siano elencati sul sito web dei criminali informatici significa, quindi, che vengono aperte trattative per non pubblicare le informazioni. I gruppi di ransomware eseguono una doppia estorsione: in primo luogo, crittografano i dati per renderli inaccessibili. Se la vittima ha un backup per recuperarli, la seconda minaccia sembra esporre la sua reputazione pubblicando tutti i dati rubati.

“La National Securities Commission è un’agenzia decentralizzata della Pubblica Amministrazione. Come la Banca centrale, sarebbe necessario vedere se sono obbligati nella decisione amministrativa 641/2021 dei requisiti minimi di sicurezza delle informazioni, o se l’hanno implementata volontariamente “, ha spiegato Marcela Pallero, responsabile del programma STIC della Fondazione Sadosky.

“Tuttavia, dal regolamento che loro stessi hanno per alcuni dei loro regolamentati, si deduce che hanno personale che capisce la sicurezza informatica. La domanda sarebbe se loro stessi lo applicano per la loro agenzia (hanno un regolamento dal 2017 in materia)”, aggiunge l’esperto in regolamenti sulla sicurezza delle informazioni.

La situazione del ransomware è una delle principali preoccupazioni nelle aziende e nei governi di tutto il mondo. Sebbene la redditività di questo business criminale sia scesa dal 2021 al 2022 – secondo uno studio di Chainanalysis, è passata da 766 milioni di dollari a 457 – gli attacchi e le nuove tensioni sono in crescita.

Secondo la società inglese di cybersecurity NCC Group, il numero di incidenti è in aumento: 459 registrati a marzo, con un aumento del 91% rispetto allo stesso periodo dello scorso anno. E questi dati sono sempre sottorappresentati, a causa della natura illecita del ransomware.

Pertanto, la sicurezza informatica è diventata cruciale negli ultimi anni a causa del gran numero di incidenti registrati. Si tratta di un settore in cui, secondo varie indagini, mancano anche professionisti specializzati: si stima che attualmente ci siano 3,4 milioni di posti vacanti nella cybersecurity nel mondo, e più di 500mila di questi posti vacanti sono in America Latina. I criminali informatici approfittano di questa situazione.

Pubblicato da Luca Bocaletto

Sviluppatore, Creatore, Musicista, Artista, Radiantista, Scacchista.