Una empresa argentina fue víctima de ransomware: 2.500 dólares por rescatar sus archivos

La siguiente noticia nos llega del diario La Voz del Interior.

La Barranca SRL, un grupo propietario de estaciones de servicio en Río Cuarto y otras localidades de la provincia argentina de Córdoba, denunció ante la Justicia cordobesa que fue víctima de una extorsión informática. Según declararon, un cibercriminal extranjero bajo el seudónimo de “Jack Williams” cifró todos los archivos de la compañía y tuvieron que pagarle 2.500 dólares para recibir las claves que les permitieron desbloquear sus datos y registros contables.

“El 20 de abril a las 15 horas nos llama un playero y nos dice que no puede acceder al módulo facturación del sistema. Yo pruebo desde mi casa y también me aparece una pantalla negra. Abajo tenía una leyenda en inglés y un correo de contacto”, contó Sebastián Pajés, contador de la firma.

Admitió que en principio no le dieron importancia; llamaron a sus técnicos en informática, luego consultaron a especialistas de Córdoba y hasta del exterior. Pero finalmente, se convencieron de que no había modo de recuperar el sistema.

“Nosotros veíamos los archivos pero no los podíamos abrir, nos pedían un código de 254 caracteres para recuperarlo. Para enviarnos las claves o proceso de bacheo, nos pidió 2.500 dólares en bitcoins, que es una moneda virtual de Internet que no tiene ningún tipo de control. Decidimos negociar porque en el sistema tenemos toda nuestra información, incluso de cuentas corrientes, era mucho más lo que podíamos perder”, declaró al diario La Voz del Interior.

Una prueba

Antes de enviar el dinero, la empresa le pidió al atacante una prueba de que recuperarían la información. “Nos comunicamos, siempre en inglés, y él nos dijo que le mandáramos un archivo de los encriptados, que él nos lo enviaría limpio. Lo hicimos y lo recibimos bien. Por eso decidimos aceptar”, relató el contador de la empresa.

A través de una empresa de Capital Federal (Buenos Aires) consiguieron cinco mil bitcoins, el equivalente virtual a 2.500 dólares, y los transfirieron a la cuenta virtual del cibercriminal el 23 de abril a las 22. A las 6 de la madrugada, “Williams” respondió que había recibido el dinero y empezó a enviar las claves para desbloquear la información.

“Suponemos que es del exterior por la forma de comunicarse y el horario en que respondía los mails. Queremos advertir a nuestros colegas empresarios pero nos han dicho que en Capital este delito informático ya es moneda corriente. Estados Unidos tiene una legislación específica para esto. Se habla de ataques de este tipo a particulares y firmas desde Australia, hay quienes hablan de una mafia de otro país”, comentó Pajés.

A La Barranca SRL, el proceso de recuperación de la información le llevó más de nueve horas. Lograron rehabilitar más del 90% de los archivos. Pajés aseguró que a partir de ahora han tomado otros recaudos para blindar el sistema, además de hacer copias de respaldo en discos independientes. Además, han remitido todos los datos a la Justicia a la espera de que se tomen medidas urgentes para que no haya más extorsionados.

Otro caso

Un comerciante de Río Cuarto denunció que también sufrió un hecho delictivo de la misma modalidad la semana pasada.

Sergio Cremmer, uno de los propietarios de la sedería Jor-Mabel, explicó a Telediario que la computadora se bloqueó, y luego apareció un cartel que le solicitaba ingresar a un sitio web donde se encontrarían los datos para hacer un depósito de dinero y así recuperar los archivos.

El dueño del negocio decidió no pagar y dio por perdida la información "secuestrada".

El ransomware, comenzando a instalarse en la región

Hace apenas dos días, les contábamos acerca de nuevas variantes de ransomware del Virus de la Policía, con Android como blanco de ataque. Dicho malware apunta a diversos países, entre ellos México, y está traducido a muchos idiomas que incluyen español, inglés, italiano y francés.

Este no es el primer caso en el que se solicita el pago de rescate mediante bitcoins: otro malware que afectó países de América Latina como Argentina, Brasil, Colombia y México recibía el pago a través de un sitio alojado en la Deep Web.

Y el año pasado habíamos advertido sobre famosos casos como Filecoder, Multi Locker y el denominado Anti-child Porn Spam Protection 2.0. La amenaza detectada por las soluciones de ESET como Win32/FileCoder cifra los archivos del disco con una contraseña por lo que, a diferencia de otras amenazas similares, no se bloquea el acceso total a la computadora, sino que el usuario puede acceder al sistema operativo pero no ve sus archivos disponibles para uso y ejecución.

Nuestros sistemas estadísticos nos muestran que las detecciones de esta amenaza han crecido. Los medios de propagación más comunes son a través de sitios maliciosos (ataques drive-by-download), utilizando otros troyanos (Downloader o Backdoor) o instalación manual del atacante infiltrándose por Remote Desktop Protocol (más común para entornos corporativos).

Lo peligroso de los casos de ransomware radica en que al bloquear el acceso al sistema operativo hasta que la víctima pague, impiden el acceso a los archivos alojados. En algunos casos es posible recuperar los archivos secuestrados. Pero para una compañía, es un riesgo que podría afectar la continuidad del negocio y por lo tanto, se deben tomar todas las medidas necesarias para prevenir la pérdida de información sensible.

Desde el Laboratorio de Investigación de ESET Latinoamérica ofrecemos las medidas de seguridad básicas para evitar y combatir las amenazas de ransomware, de las cuales la más importante y a esta altura primordial, es contar con un respaldo o backup de la información siempre actualizado. Y por supuesto, contar con una solución de seguridad que sea capaz de detectar y eliminar este tipo de malware es importante.

En nuestra sección de Guías, podrán encontrar la Guía de Backup con toda la información necesaria en relación a esta  técnica, que ayudará a mitigar el impacto en un caso de secuestro de archivos.