SE TRATA DE UN CONOCIDO “RANSOMWARE” LLAMADO NETWALKER. AL TANTO DE LA SITUACIÓN, EL MINISTERIO DEL INTERIOR YA DENUNCIÓ A LOS ATACANTES POR EXTORSIÓN. RECLAMARÍAN CERCA DE 76 MILLONES DE DÓLARES.

Un ataque de ransomware conocido como NetWalker secuestró información de la Dirección Nacional de Migraciones (DNM) y amenaza con publicar esos datos de la dependencia del Ministerio del Interior si no se efectúa un pago millonario. Se habla de US$ 76 millones. El plazo vence el miércoles que viene. Los datos que se publicaron en este caso se difundieron a través de una captura de pantalla donde se ven carpetas que hacen referencia a la Agencia Federal de Inteligencia (AFI), consulados, embajadas e informes de flujos migratorios. Allí también se ve el lapso de tiempo en el que la información será publicada.

Fuentes del Ministerio del Interior, a cargo de Eduardo “Wado” de Pedro, confirmaron a Clarín el incidente informático y aseguraron que ya presentaron una denuncia penal al respecto que quedó en manos del juez Sebastián Casanello.

¿Qué es NetWalker?
La amenaza comienza a operar en septiembre de 2019, pero no es hasta el 19 de marzo de 2020 cuando el usuario con el alias Bugatti abría la oportunidad a otros cibercriminales de unirse al grupo como parte de un modelo de negocio RaaS (Ransomware as a Service).

La muestra de ransomware NetWalker analizada ha sido distribuida utilizando un dropper desarrollado en Visual Basic Script (VBS), que se incluye como fichero adjunto en la campaña de spam. Es un ransomware de cifrado (encrypting ransomware), es decir, impide el acceso a los datos del usuario cifrando los archivos del dispositivo, aunque se mantiene el acceso al mismo.

El 18 de marzo de este año se analizó, por primera vez, el archivo CORONAVIRUS_COVID-19.vbs en la herramienta VirusTotal y, a fecha de 31 de marzo, 32 de los 59 motores antivirus que gestiona VT han clasificado la muestra como maliciosa, tal y como se aprecia en la siguiente imagen:

La ejecución del ransomware NetWalker se divide en cuatro fases:

El código malicioso importa las funciones de las librerías de Windows que usará durante el resto de la ejecución.

El fichero de configuración del ransomware, donde se encuentran diversos parámetros relativos al cifrado y rescate, se extrae de los recursos del ejecutable.

Inicialización de variables, tales como el identificador del usuario afectado.

Procedimiento principal donde se llevaría a cabo el proceso de cifrado de archivos.

En paralelo, señalaron desde Migraciones, ahora se trabaja con Seguridad Informática para ver qué falló y cómo los hackers pudieron vulnerar el sistema. Por lo sucedido, además, fue despedido de su cargo el director de Seguridad Informática a cargo de la dependencia, que estaba en esa posición desde hacía 25 años.

Fuente: