25 DE ABRIL 2024
Cómo funciona Medusa, la organización de hackers que atacó a la CNV y secuestró información sensible de inversores argentinos
Por:
Matías Barbería
Lunes 12 de
Junio 2023
El grupo publicó en su blog una amenaza al ente regulador del mercado argentino en la que pide USD 500.000 para no hacer públicos los datos
El ente regulador del mercado de capitales argentino, la Comisión Nacional de Valores (CNV), comunicó este último fin de semana que fue víctima de un ataque cibernético. La entidad, cuyos datos registran las operaciones diarias del mercado financiero y que por su rol de control tiene acceso a información sensible de miles de inversores y empresas emisoras de activos negociables en el país, dijo que pudo aislar el ataque de manera de evitar la expansión del mismo y que ahora trabaja en reestablecer los servicios. El software utilizado para el hackeo es uno que está ganando notoriedad en el mundo de la cyberseguridad: Medusa.
En el opaco mundo de los hackers, Medusa se volvió enormemente visible en base a varios golpes exitosos contra empresas e instituciones. La notoriedad, se sabe, crea imitadores con lo cual, genera además ataques de terceros que se hacen pasar por el temido grupo. Pero de una forma o de la otra, explican los expertos, generan un fenómeno temible.
Según el sitio especializado BleepingComputer, la operación de Medusa comenzó en junio de 2021, pero tuvo una actividad relativamente baja, con pocas víctimas. Sin embargo, en 2023 la banda de ransomware aumentó su actividad y lanzó un “Medusa Blog” utilizado para filtrar datos de las víctimas que se niegan a pagar un rescate.
Los piratas informáticos de Medusa se dedican al ransomware, una modalidad de hackeo que consiste en acceder a la red de una víctima y encriptar toda la información de sus sistemas para volverlos inutilizables. Una vez vulnerada la seguridad y secuestrada la información, los atacantes exigen un rescate (ransom, en inglés) a cambio de devolver el control de los sistemas a sus dueños. El problema es que una vez vulnerada la seguridad, pagar no soluciona el problema porque los atacantes siguen teniendo acceso al sistema y los datos, muchas veces secretos, ya están comprometidos.
“Medusa empezó a cobrar fuerza desde 2021 y este año atacó varias entidades públicas en muchos países, como EEUU o la Argentina. Usan ransomware y piden rescates millonarios. Por eso es importante trabajar en regulaciones para seguridad informática. La banca y las finanzas están reguladas por el BCRA, pero muchas otras compañías y verticales no lo están. Estás noticias van a llegar todos los días: ahora estamos en 2.000 ataques por semana. Esto se empieza a resolver con cultura, regulaciones e inversión en el cuidado de los datos, tanto para personas como para compañías”, dio Sergio Oroña, Managing Partner de Consulting Services.
La organización, explica Gabriel Zurdo de BTR Consulting, tiene antecedentes que provienen desde el 2015. En ese entonces se llamaba Mirai. Ya desde ese momento el grupo adoptó un método cada vez más común en el mundo de los ciberataques: el Ransomware as a Service, que utiliza hasta el día de hoy.
“Es decir, te alquilan a partir de una membresía la participación EN las ejecuciones de este tipo de hostilidades digitales en la nube. Funciona como una especie de Share Service Center formal, en donde en las sombras el grupo de ciberdelincuentes desarrolla y va mejorando esta multiplicidad de herramientas para el ciberataque, que se alquilan desde la nube”, explicó el especialista.
El grupo de hackers que debe su nombre a la criatura de la mitología griega que petrifica a sus víctimas con la mirada ganó notoriedad en marzo de este año después de que se le atribuyera la responsabilidad de un ataque al distrito de las Escuelas Públicas de Minneapolis (MPS) y compartiera un vídeo de los datos robados.
Según especialistas, muchas variantes de malware se hacen llamar Medusa, incluyendo una botnet basado en Mirai con capacidades de ransomware, un malware Medusa para Android y la operación de ransomware MedusaLocker.
Pero Medusa y MedusaLocker no son lo mismo.
Según BleepingComputer en torno a Medusa habría cierta confusión. El portal informa de que, gracias a algunos casos de homonimia, existirían varios grupos de ciberdelincuentes que se hacen llamar Medusa. Algunos ejemplos son los hackers MedusaLocker, una botnet llamada Medusa y malware del mismo nombre para dispositivos Android. Estos no tendrían nada que ver con el mencionado grupo de hackers.
Medusa y MedusaLocker también difieren en las notas de rescate que dejan. MedusaLocker suele dejar a sus víctimas un archivo .HTML llamado How_to_back_files mientras que Medusa deja un archivo .TXT llamado !!!READ_ME_MEDUSA!!!. Además, Medusa cifra los archivos con la extensión .MEDUSA, mientras que MedusaLocker utiliza una mayor variedad de extensiones.
La operación del ransomware Medusa ha estado utilizando desde junio de 2021 una nota de rescate llamada !!!READ_ME_MEDUSA!!!.txt y una extensión de archivo cifrado estático de .MEDUSA.
La operación Medusa también utiliza un sitio web Tor para negociar el rescate, de nombre “Secure Chat”, donde cada víctima tiene una identidad única que puede utilizar para comunicarse con los delincuentes y negociar una salida.
Además, Medusa tiene un sitio de filtración de datos llamado “Medusa Blog”. el sencillo portal se utiliza como parte de la estrategia de extorsión, ya que suelen hacer públicos los datos de las empresas u organizaciones que se resisten a pagar el rescate.
Esto es lo que revela que la CNV fue víctima del grupo, porque los datos del ente regulador del mercado argentino están ya publicados en ese blog alojado en la darkweb (la parte de Internet a la que los buscadores como Google no acceden).
Cuando se añade una víctima, sus datos no se publican inmediatamente. En su lugar, los hackers dan a las víctimas opciones de pago para ampliar la cuenta atrás antes de que se publiquen los datos, para borrarlos o para descargarlos todos. Cada una de estas opciones tiene precios diferentes. Una característica particularmente perversa es el reloj de conteo que mantienen en su blog encima de cada posteo sobre una nueva víctima. Los botones de pago le permiten a las víctimas sumar horas al reloj, para alejar el momento de la filtración de información.
En el caso de la CNV, la publicación de Medusa le exige a la CNV pagar USD 10.000 para retrasar un día la publicación de los datos, USD 500.000 para borrarlos y otros USD 500.000 para recuperarlos, según capturas del Medusa Blog obtenidas por BTR.
La peligrosidad de la información, dijeron fuentes con pasado en la CNV, depende de qué clase de datos robaron los piratas informáticos.
“Hay dos clases de datos. Unos, de la propia organización, que pueden ser intercambios de mails entre empleados o procesos administrativos que tarde o temprano se hacen públicos, eso no es relevante”, dijo un conocedor del ente regulador.
“El tema son los datos de los regulados que por secreto bursátil la CNV sólo comparte con otros reguladores como el Banco Central, la AFIP u otros. Es información más desagregada sobre que muestra qué compra, qué vende y quién es el destinatario final de cada operación. Esa es la información potencialmente más sensible”, agregó.
“La amenaza concreta es que todos los datos puede hacerse públicos, no sólo esa ‘prueba de vida’. Una vez que esta información sea publicada, cualquiera la puede descargar y permanecerá en disponible. Es bastante poco probable que la bajen si no se paga el rescate. Las organizaciones víctimas tratan de minimizar todo y está bien, pero es un hecho importante y grave”, agregó Zurdo.
El ataque a CNV es uno más de una larga serie de golpes que afectaron a sistemas argentinos. Y sus efectos pueden ser bien concretos. Recientemente, el INTA fue atacado y debió sacar de funcionamiento radares meteorológicos que utiliza para colaborar con el Servicio Meteorológico Nacional y asistira a los productores. También la Super Intendencia de Seguros fue blanco de un ataque y un proveedor de la industria farmacéutica golpeado generó toda clase de inconvenientes a los pacientes que se acercaban a las farmacias a comprar medicamentos pero no lograban hacer valer sus membresías a empresas de medicina prepaga u obras sociales.
En el opaco mundo de los hackers, Medusa se volvió enormemente visible en base a varios golpes exitosos contra empresas e instituciones. La notoriedad, se sabe, crea imitadores con lo cual, genera además ataques de terceros que se hacen pasar por el temido grupo. Pero de una forma o de la otra, explican los expertos, generan un fenómeno temible.
Según el sitio especializado BleepingComputer, la operación de Medusa comenzó en junio de 2021, pero tuvo una actividad relativamente baja, con pocas víctimas. Sin embargo, en 2023 la banda de ransomware aumentó su actividad y lanzó un “Medusa Blog” utilizado para filtrar datos de las víctimas que se niegan a pagar un rescate.
Los piratas informáticos de Medusa se dedican al ransomware, una modalidad de hackeo que consiste en acceder a la red de una víctima y encriptar toda la información de sus sistemas para volverlos inutilizables. Una vez vulnerada la seguridad y secuestrada la información, los atacantes exigen un rescate (ransom, en inglés) a cambio de devolver el control de los sistemas a sus dueños. El problema es que una vez vulnerada la seguridad, pagar no soluciona el problema porque los atacantes siguen teniendo acceso al sistema y los datos, muchas veces secretos, ya están comprometidos.
“Medusa empezó a cobrar fuerza desde 2021 y este año atacó varias entidades públicas en muchos países, como EEUU o la Argentina. Usan ransomware y piden rescates millonarios. Por eso es importante trabajar en regulaciones para seguridad informática. La banca y las finanzas están reguladas por el BCRA, pero muchas otras compañías y verticales no lo están. Estás noticias van a llegar todos los días: ahora estamos en 2.000 ataques por semana. Esto se empieza a resolver con cultura, regulaciones e inversión en el cuidado de los datos, tanto para personas como para compañías”, dio Sergio Oroña, Managing Partner de Consulting Services.
La organización, explica Gabriel Zurdo de BTR Consulting, tiene antecedentes que provienen desde el 2015. En ese entonces se llamaba Mirai. Ya desde ese momento el grupo adoptó un método cada vez más común en el mundo de los ciberataques: el Ransomware as a Service, que utiliza hasta el día de hoy.
“Es decir, te alquilan a partir de una membresía la participación EN las ejecuciones de este tipo de hostilidades digitales en la nube. Funciona como una especie de Share Service Center formal, en donde en las sombras el grupo de ciberdelincuentes desarrolla y va mejorando esta multiplicidad de herramientas para el ciberataque, que se alquilan desde la nube”, explicó el especialista.
El grupo de hackers que debe su nombre a la criatura de la mitología griega que petrifica a sus víctimas con la mirada ganó notoriedad en marzo de este año después de que se le atribuyera la responsabilidad de un ataque al distrito de las Escuelas Públicas de Minneapolis (MPS) y compartiera un vídeo de los datos robados.
Según especialistas, muchas variantes de malware se hacen llamar Medusa, incluyendo una botnet basado en Mirai con capacidades de ransomware, un malware Medusa para Android y la operación de ransomware MedusaLocker.
Pero Medusa y MedusaLocker no son lo mismo.
Según BleepingComputer en torno a Medusa habría cierta confusión. El portal informa de que, gracias a algunos casos de homonimia, existirían varios grupos de ciberdelincuentes que se hacen llamar Medusa. Algunos ejemplos son los hackers MedusaLocker, una botnet llamada Medusa y malware del mismo nombre para dispositivos Android. Estos no tendrían nada que ver con el mencionado grupo de hackers.
Medusa y MedusaLocker también difieren en las notas de rescate que dejan. MedusaLocker suele dejar a sus víctimas un archivo .HTML llamado How_to_back_files mientras que Medusa deja un archivo .TXT llamado !!!READ_ME_MEDUSA!!!. Además, Medusa cifra los archivos con la extensión .MEDUSA, mientras que MedusaLocker utiliza una mayor variedad de extensiones.
La operación del ransomware Medusa ha estado utilizando desde junio de 2021 una nota de rescate llamada !!!READ_ME_MEDUSA!!!.txt y una extensión de archivo cifrado estático de .MEDUSA.
La operación Medusa también utiliza un sitio web Tor para negociar el rescate, de nombre “Secure Chat”, donde cada víctima tiene una identidad única que puede utilizar para comunicarse con los delincuentes y negociar una salida.
Además, Medusa tiene un sitio de filtración de datos llamado “Medusa Blog”. el sencillo portal se utiliza como parte de la estrategia de extorsión, ya que suelen hacer públicos los datos de las empresas u organizaciones que se resisten a pagar el rescate.
Esto es lo que revela que la CNV fue víctima del grupo, porque los datos del ente regulador del mercado argentino están ya publicados en ese blog alojado en la darkweb (la parte de Internet a la que los buscadores como Google no acceden).
Cuando se añade una víctima, sus datos no se publican inmediatamente. En su lugar, los hackers dan a las víctimas opciones de pago para ampliar la cuenta atrás antes de que se publiquen los datos, para borrarlos o para descargarlos todos. Cada una de estas opciones tiene precios diferentes. Una característica particularmente perversa es el reloj de conteo que mantienen en su blog encima de cada posteo sobre una nueva víctima. Los botones de pago le permiten a las víctimas sumar horas al reloj, para alejar el momento de la filtración de información.
En el caso de la CNV, la publicación de Medusa le exige a la CNV pagar USD 10.000 para retrasar un día la publicación de los datos, USD 500.000 para borrarlos y otros USD 500.000 para recuperarlos, según capturas del Medusa Blog obtenidas por BTR.
La peligrosidad de la información, dijeron fuentes con pasado en la CNV, depende de qué clase de datos robaron los piratas informáticos.
“Hay dos clases de datos. Unos, de la propia organización, que pueden ser intercambios de mails entre empleados o procesos administrativos que tarde o temprano se hacen públicos, eso no es relevante”, dijo un conocedor del ente regulador.
“El tema son los datos de los regulados que por secreto bursátil la CNV sólo comparte con otros reguladores como el Banco Central, la AFIP u otros. Es información más desagregada sobre que muestra qué compra, qué vende y quién es el destinatario final de cada operación. Esa es la información potencialmente más sensible”, agregó.
“La amenaza concreta es que todos los datos puede hacerse públicos, no sólo esa ‘prueba de vida’. Una vez que esta información sea publicada, cualquiera la puede descargar y permanecerá en disponible. Es bastante poco probable que la bajen si no se paga el rescate. Las organizaciones víctimas tratan de minimizar todo y está bien, pero es un hecho importante y grave”, agregó Zurdo.
El ataque a CNV es uno más de una larga serie de golpes que afectaron a sistemas argentinos. Y sus efectos pueden ser bien concretos. Recientemente, el INTA fue atacado y debió sacar de funcionamiento radares meteorológicos que utiliza para colaborar con el Servicio Meteorológico Nacional y asistira a los productores. También la Super Intendencia de Seguros fue blanco de un ataque y un proveedor de la industria farmacéutica golpeado generó toda clase de inconvenientes a los pacientes que se acercaban a las farmacias a comprar medicamentos pero no lograban hacer valer sus membresías a empresas de medicina prepaga u obras sociales.
