Hechos clave:
- Los atacantes secuestraron unos 7.700 GB, equivalente a 10 años de información.
- No se ha determinado el monto en bitcoin que fue solicitado como rescate.
Al menos 7.700 GB de información del gobierno de la provincia de San Luis, en Argentina, fueron secuestrados. El ataque al Data Center, que alberga información de la entidad, fue a través de una modalidad de ransomware, un tipo de virus que secuestra datos encriptándolos y pide rescate en bitcoin por su liberación.
La ministra de Ciencia y Tecnología de la provincia, Alicia Bañuelos, indicó que el ataque fue efectuado el pasado 25 de noviembre. Entrevistada este 2 de diciembre por la Agencia de Noticias de San Luis, Bañuelos explicó que ya se ha logrado restablecer el 90% de la data encriptada por el virus.
Aunque no se ha determinado la cifra en bitcoin que los atacantes solicitaron a cambio de los datos secuestrados, el Diario de la República asegura que el rescate podría rondar los 0,5 y 50 BTC. Esta cifra, al momento de redacción de esta nota, va de los USD 3.791 a los USD 379.100, según el precio actual de bitcoin en datos de mercado de CriptoNoticias. La ministra expuso que los bitcoins exigidos debían ser comprados por la entidad gubernamental a través un sitio específico, que no fue mencionado.
Lo que sí explicó Bañuelos es que el Estado argentino no estaba dispuesto a hacer el pago. Por una parte, porque no tienen la certeza de que esa acción les garantizará la recuperación de sus datos. Por otra, porque implicaría facilitar recursos para próximos ataques a los cibercriminales.
Falsa recuperación total
El pasado jueves, añadió la ministra de la provincia, creyeron haber logrado la recuperación total de los datos. Sin embargo, el proceso falló y todavía no logran desencriptar todos los archivos del presente año. En total, son 350 GB de información que todavía no logran recuperar.
Al tratarse de discos con tanta información, el plazo para recuperarlos podría llegar incluso a los 15 días, según estimaciones de la ministra. De hecho, comentó que les tomó en total 40 horas para darse cuenta de que la recuperación de esos 350 GB restantes había fallado.
Aunque Bañuelos considera que falta poco material por recuperar, tomando en cuenta que el ataque afectó 7.700 GB de información, reconoce que los procesos referentes a expedientes del presente están actualmente paralizados.
El proceso de recuperación de los datos implicó inicialmente la eliminación del virus del sistema, para luego pasar a desencriptar los archivos. Estos archivos afectados no fueron sacados por los atacantes de los discos del Data Center, sino que fueron encriptados para impedir su acceso a la organización.
Ransomware, una amenaza en alza
Durante 2019, la amenaza que representan los ataques por ransomware ha ido aumentando. Solo para el primer trimestre del año, el monto por rescates ante este tipo de ataques había subido un 90%, según un informe publicado por la firma Coveware.
El mismo estudio reflejaba además una diversificación en los tipos de ransomware. La firma aseguraba al respecto que los ataques por esta vía se estaban haciendo más sofisticados, a medida que los atacantes recurrían a modelos más costosos para sus secuestros de datos. En ese momento, no solo los rescates habían aumentado, sino también el tiempo promedio que duraban los ataques.
Además, a mediados de octubre un informe de la policía europea, Europol, destacaba una alerta ante al menos 25 tipos de ransomware. El estudio de cibercrimen del cuerpo policial refrenda también la sofisticación que ya adelantaba Coveware.
Entre los ataques más recientes, destaca el perpetrado contra cadenas de radio y empresas de consultoría en España. También la petrolera estatal mexicana, Pemex, se vio afectada por un ataque de este tipo, en el que los atacantes exigían USD 5.000.000 en bitcoin.
