26 nov. 2020

Vialidad y otros dominios GOB.AR afectados por #ransomware #Revil / Sodinokibi y troyano #Emotet

Como sucedió con el caso de Migraciones a fines de octubre, ciberdelincuentes lograron extraer información del dominio de Vialidad de Argentina.gob.ar y secuestraron 50 GB de información. Como siempre, los delincuentes amenazan con publicar la información en una semana.

Por otro lado hay alrededor de 150 cuentas de correos gubernamentales que están siendo utilizadas por el malware #EMOTET.

En el caso de Vialidad, como adelantamos en Twitter, se trata del ransomware Revil o Sodinokibi, el grupo de ciberdelincuentes que opera a través de partners para extorsionar a empresas y dependencias gubernamentales de todo el mundo. Las carpetas se pueden ver en un link de la Dark Web accesible vía navegadores como TOR. Allí se ve, como prueba del hackeo, parte del contenido secuestrado que, supuestamente alcanza los 50GB.

Además, fuentes oficiales del Gobierno contaron a este medio que un ataque se produjo el lunes a través de una página de Vialidad: https://www.argentina.gob.ar/obras-publicas/vialidad-nacional. Aunque, según fuentes internas de Vialidad: "Estos archivos no son de vialidad aunque podría ser una PC de la red renunciaron".

Desde la secretaría de Innovación rechazaron las versiones del hackeo. "Hemos detectado que está circulando información respecto a un supuesto ataque y robo de información en el portal argentina.gob.ar, la cual es falsa", informaron sobre las capturas que circulan en la Dark Web.

Desde la Dirección Nacional de Ciberseguridad, a través de Coordinación de Emergencia en Redes Teleinformáticas(CERT), señalaron que las imágenes mostradas pueden coincidir con información sustraída en un ataque efectuado por un ransomware hace unos días atrás.

"Como se puede ver en las imágenes que se muestran de los datos robados, hacen alusión a directorios del sistema operativo Windows, y toda la estructura del portal está desarrollada en sistema operativo Linux. Además, los nombres de carpetas y archivos mostrados, no coinciden con ninguna información que contenga el portal, como tampoco es normal que se suban archivos del tipo Word", sostuvieron.

En particular, Argentina.gob.ar es el sitio desde el cual se pueden realizar diversos trámites personales: gestionar vacunas, planes de salud, denunciar casos de violencia familiar, servicios a discapacitados y, principalmente, gestionar trámites de credenciales personales como el DNI o el pasaporte.

Otros dominios comprometidos por #EMOTET

Estos 29 dominios ha sido comprometidos en las últimas semanas por el malware #EMOTET, una botnet que se propaga a través de correos electrónicos falsificados en español y con archivos de ofimática adjuntos .

anac.gob.ar azul.gba.gob.ar boletas.acor.gob.ar bolivar.gob.ar buenosaires.gob.ar bustinza.gob.ar choelechoel.gob.ar enerc.gob.ar gendarmeria.gob.ar iguazuturismo.gob.ar incaa.gob.ar inteatro.gob.ar inti.gob.ar minpro.gob.ar minseg.gob.ar mpajujuy.gob.ar municipalidadarias.gob.ar orsep.gob.ar presidencia.gob.ar psa.gob.ar puebloandino.gob.ar remsa.gob.ar renatea.gob.ar saltogrande.gob.ar sauceviejo.gob.ar sppdp.gob.ar tartagal.gob.ar tigre.gob.ar villamaria.gob.ar

Estos dominios ya han sido reportados de forma responsable al Estado Nacional junto a las 149 cuentas de correo electrónico comprometidas.

EMOTET es uno de los malware más activos y peligrosos de la actualidad y se mantiene actualizado constantemente a través de técnicas de Malwareless. Así funciona Emotet [1][2].

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!