En un comunicado publicado el 11 de junio en el Portal del Estado Argentino, confirman que la Comisión Nacional de Valores (CNV) fue víctima de un ataque de ransomware por parte del grupo Medusa que derivó en el cifrado de los archivos en los equipos infectados y en el robo de información. Según la publicación, la entidad logró aislar y controlar el ataque que dejó fuera de servicio sus plataformas online.

Según explica la CNV los datos robados por los cibercriminales son de carácter público. “La información tomada por los atacantes es la información de carácter público que los regulados cargan en la Autopista de Información Financiera, que es la principal vía de comunicación que la CNV mantiene con sus regulados”, aseguran en el comunicado.

Por su parte, el grupo de ransomware Medusa publicó en su sitio de la dark web detalles del incidente y presionan a la CNV para que pague un rescate de 500 mil dólares en Bitcoin y de esta manera evitar la divulgación de más de 1.5 terabytes de información robada (documentos, bases de datos, etc.) y entregar un descifrador para recuperar los archivos cifrados. El plazo que da el grupo es hasta el próximo domingo 18 de junio. El grupo adoptó una estrategia similar a la del ransomware LockBit en cuanto a incluir para cada una de las víctimas la posibilidad de pagar para extender por 24 horas la posibilidad de descargar la información robada, y también las opciones de pagar para eliminar los datos robados.

Publicación del ransomware Medusa en su sitio de la Dark Web.

Si bien la CNV asegura que los datos a los que accedieron los atacantes es información pública, en su sitio los cibercriminales aseguran que entre la información robada se incluye información sensible, como datos personales y credenciales.

Es importante mencionar que este ataque a la CNV se suma a la lista de otros ataques de ransomware que han sufrido otras empresas y organismos de Argentina en lo que va de 2023. Los más recientes fueron el Instituto Nacional de Tecnología Agropecuaria y el ataque a la empresa Bizland que afectó a la venta de medicamentos en farmacias y a una parte de la red de transporte en el país. A este escenario debemos sumar la cantidad de ataques de ransomware que se registraron en 2022 en Argentina y en la región, que no hacen más que demostrar que la actividad de los grupos de ransomware sigue siendo importante.

Acerca del ransomware Medusa

Medusa es un grupo de ransomware cuya actividad se hizo más notoria en 2023 con el lanzamiento de su sitio en la Red Onion, donde al igual que muchos otros grupos de ransomware, publica los nombres de sus víctimas para extorsionarlas y amenazarlas con publicar información robada si no pagan.

Según explica bleepingcomputer, este grupo de ransomware se caracteriza por dejar una nota de rescate mediante un archivo txt bajo el nombre !!!READ_ME_MEDUSA!!!txt , y por cifrar los archivos en los equipos comprometidos y cambiar su extensión por .MEDUSA.

Es importante mencionar que en lo que va de 2023 el grupo afectó a empresas y organismos en distintas partes del mundo y en diversas industrias, desde organismos gubernamentales, empresas de tecnología y construcción, pasando por plataformas educativas, instituciones deportivas y universidades, entre muchas otras más.

En América Latina, el grupo se ha cobrado varias víctimas en lo que va de este año. Además de este ataque a la Comisión Nacional de Valores de Argentina, este ransomware fue el responsable del ataque a la empresa Garbarino del mismo país. Pero además de Argentina, Medusa publicó en su sitio el nombre de compañías de Bolivia, Brasil, Chile, Colombia y República Dominicana.

Lectura recomendada:

Ciberataques a organismos gubernamentales de América Latina: una constante en 2022
Etapas de un ataque de ransomware: desde el acceso inicial hasta la extorsión