{"id":71724,"date":"2023-06-12T19:08:42","date_gmt":"2023-06-12T19:08:42","guid":{"rendered":"https:\/\/noticiasbaires.com\/?p=71724"},"modified":"2023-06-12T19:08:42","modified_gmt":"2023-06-12T19:08:42","slug":"como-funciona-medusa-la-organizacion-de-hackers-que-ataco-a-la-cnv-y-secuestro-informacion-sensible-de-inversores-argentinos","status":"publish","type":"post","link":"https:\/\/legislaturahoy.com\/?p=71724","title":{"rendered":"C\u00f3mo funciona Medusa, la organizaci\u00f3n de hackers que atac\u00f3 a la CNV y secuestr\u00f3 informaci\u00f3n sensible de inversores argentinos"},"content":{"rendered":"\n

El ente regulador del mercado de capitales argentino, la Comisi\u00f3n Nacional de Valores (CNV)<\/strong>, comunic\u00f3 este \u00faltimo fin de semana que fue v\u00edctima de un ataque cibern\u00e9tico<\/a>. La entidad, cuyos datos registran las operaciones diarias del mercado financiero y que por su rol de control tiene acceso a informaci\u00f3n sensible de miles de inversores y empresas emisoras de activos negociables en el pa\u00eds, dijo que pudo aislar el ataque de manera de evitar la expansi\u00f3n del mismo y que ahora trabaja en reestablecer los servicios. El software utilizado para el hackeo<\/strong> es uno que est\u00e1 ganando notoriedad en el mundo de la cyberseguridad: Medusa<\/strong>.<\/p>\n\n\n\n

En el opaco mundo de los hackers, Medusa se volvi\u00f3 enormemente visible en base a varios golpes exitosos contra empresas e instituciones. La notoriedad, se sabe, crea imitadores con lo cual, genera adem\u00e1s ataques de terceros que se hacen pasar por el temido grupo. Pero de una forma o de la otra, explican los expertos, generan un fen\u00f3meno temible.<\/p>\n\n\n\n

Seg\u00fan el sitio especializado BleepingComputer, la operaci\u00f3n de Medusa comenz\u00f3 en junio de 2021, pero tuvo una actividad relativamente baja, con pocas v\u00edctimas. Sin embargo, en 2023 la banda de ransomware aument\u00f3 su actividad y lanz\u00f3 un \u201cMedusa Blog\u201d utilizado para filtrar datos de las v\u00edctimas que se niegan a pagar un rescate.<\/p>\n\n\n\n

\"LaLa publicaci\u00f3n en el Medusa Blog que pide un rescate para los datos de la CNV (Fuente: BTR Consulting)<\/p>\n\n\n\n

Los piratas inform\u00e1ticos de Medusa se dedican al ransomware, una modalidad de hackeo que consiste en acceder a la red de una v\u00edctima y encriptar toda la informaci\u00f3n de sus sistemas para volverlos inutilizables. Una vez vulnerada la seguridad y secuestrada la informaci\u00f3n, los atacantes exigen un rescate (ransom<\/em>, en ingl\u00e9s) a cambio de devolver el control de los sistemas a sus due\u00f1os. El problema es que una vez vulnerada la seguridad, pagar no soluciona el problema porque los atacantes siguen teniendo acceso al sistema y los datos, muchas veces secretos, ya est\u00e1n comprometidos.<\/p>\n\n\n\n

\u201cMedusa empez\u00f3 a cobrar fuerza desde 2021 y este a\u00f1o atac\u00f3 varias entidades p\u00fablicas en muchos pa\u00edses, como EEUU o la Argentina. Usan ransomware y piden rescates millonarios. Por eso es importante trabajar en regulaciones para seguridad inform\u00e1tica. La banca y las finanzas est\u00e1n reguladas por el BCRA, pero muchas otras compa\u00f1\u00edas y verticales no lo est\u00e1n. Est\u00e1s noticias van a llegar todos los d\u00edas: ahora estamos en 2.000 ataques por semana. Esto se empieza a resolver con cultura, regulaciones e inversi\u00f3n en el cuidado de los datos, tanto para personas como para compa\u00f1\u00edas\u201d, dio Sergio Oro\u00f1a<\/strong>, Managing Partner de Consulting Services.<\/p>\n\n\n\n

La organizaci\u00f3n, explica Gabriel Zurdo<\/strong> de BTR Consulting, tiene antecedentes que provienen desde el 2015. En ese entonces se llamaba Mirai. Ya desde ese momento el grupo adopt\u00f3 un m\u00e9todo cada vez m\u00e1s com\u00fan en el mundo de los ciberataques: el Ransomware as a Service,<\/em> que utiliza hasta el d\u00eda de hoy.<\/p>\n\n\n\n

\u201cEs decir, te alquilan a partir de una membres\u00eda la participaci\u00f3n EN las ejecuciones de este tipo de hostilidades digitales en la nube. Funciona como una especie de Share Service Center <\/em>formal, en donde en las sombras el grupo de ciberdelincuentes desarrolla y va mejorando esta multiplicidad de herramientas para el ciberataque, que se alquilan desde la nube\u201d, explic\u00f3 el especialista.<\/p>\n\n\n\n

El grupo de hackers que debe su nombre a la criatura de la mitolog\u00eda griega que petrifica a sus v\u00edctimas con la mirada gan\u00f3 notoriedad en marzo de este a\u00f1o despu\u00e9s de que se le atribuyera la responsabilidad de un ataque al distrito de las Escuelas P\u00fablicas de Minneapolis (MPS) y compartiera un v\u00eddeo de los datos robados.<\/p>\n\n\n\n

Seg\u00fan especialistas, muchas variantes de malware se hacen llamar Medusa, incluyendo una botnet basado en Mirai con capacidades de ransomware, un malware Medusa para Android y la operaci\u00f3n de ransomware MedusaLocker.<\/p>\n\n\n\n

\"LaLa Comisi\u00f3n Nacional de Valores almacena datos sobre operaciones en los mercados locales (Reuters)<\/p>\n\n\n\n

Pero Medusa y MedusaLocker no son lo mismo.<\/p>\n\n\n\n

Gracias a algunos casos de homonimia, existir\u00edan varios grupos de ciberdelincuentes que se hacen llamar Medusa. Algunos ejemplos son los hackers MedusaLocker, una botnet llamada Medusa y malware del mismo nombre para dispositivos Android. Estos no tendr\u00edan nada que ver con el mencionado grupo de hackers.<\/p>\n\n\n\n

Medusa y MedusaLocker tambi\u00e9n difieren en las notas de rescate que dejan. MedusaLocker suele dejar a sus v\u00edctimas un archivo .HTML llamado How_to_back_files mientras que Medusa deja un archivo .TXT llamado !!!READ_ME_MEDUSA!!! desde junio 2021.<\/p>\n\n\n\n

La operaci\u00f3n Medusa tambi\u00e9n utiliza un sitio web Tor para negociar el rescate, de nombre \u201cSecure Chat\u201d, donde cada v\u00edctima tiene una identidad \u00fanica que puede utilizar para comunicarse con los delincuentes y negociar una salida.<\/p>\n\n\n\n

Adem\u00e1s, el grupotiene un sitio de filtraci\u00f3n de datos llamado \u201cMedusa Blog\u201d. el sencillo portal se utiliza como parte de la estrategia de extorsi\u00f3n, ya que suelen hacer p\u00fablicos los datos de las empresas u organizaciones que se resisten a pagar el rescate.<\/p>\n\n\n\n

Esto es lo que revela que la CNV fue v\u00edctima del grupo, porque los datos del ente regulador del mercado argentino est\u00e1n ya publicados en ese blog alojado en la <\/strong>darkweb<\/strong><\/em> (la parte de Internet a la que los buscadores como Google no acceden).<\/p>\n\n\n\n

\"ElEl archivo con el que Medusa comunica a sus v\u00edsctimas que fueron hackeadas (Fuente: BleepingComputer)<\/p>\n\n\n\n

Cuando se a\u00f1ade una v\u00edctima, sus datos no se publican inmediatamente. En su lugar, los hackers dan a las v\u00edctimas opciones de pago para ampliar la cuenta regresiva que marca el momento en que se har\u00e1n p\u00fablicos los datos, para borrarlos o para descargarlos todos. Cada una de estas opciones tiene precios diferentes.<\/p>\n\n\n\n

En el caso de la CNV, la publicaci\u00f3n de Medusa le exige a la CNV pagar USD 10.000 para retrasar un d\u00eda la publicaci\u00f3n de los datos, USD 500.000 para borrarlos y otros USD 500.000 para recuperarlos, seg\u00fan capturas del Medusa Blog obtenidas por BTR.<\/p>\n\n\n\n

Lo que no est\u00e1 claro es que datos tienen los hacker en sus manos. La peligrosidad de la informaci\u00f3n, dijeron fuentes con pasado en la CNV, depende de qu\u00e9 clase de informaci\u00f3n robaron los piratas inform\u00e1ticos.<\/p>\n\n\n\n

\u201cHay dos clases de datos. Unos, de la propia organizaci\u00f3n, que pueden ser intercambios de mails entre empleados o procesos administrativos que tarde o temprano se hacen p\u00fablicos, eso no es relevante\u201d, dijo un conocedor del ente regulador.<\/p>\n\n\n\n

\u201cEl tema son los datos de los regulados que por secreto burs\u00e1til la CNV s\u00f3lo comparte con otros reguladores como el Banco Central, la AFIP u otros. Es informaci\u00f3n m\u00e1s desagregada sobre que muestra qu\u00e9 compra, qu\u00e9 vende y qui\u00e9n es el destinatario final de cada operaci\u00f3n. Esa es la informaci\u00f3n potencialmente m\u00e1s sensible\u201d, agreg\u00f3.<\/p>\n\n\n\n

\u201cLa amenaza concreta es que todos los datos puede hacerse p\u00fablicos, no s\u00f3lo esa \u2018prueba de vida\u2019. Una vez que esta informaci\u00f3n sea publicada, cualquiera la puede descargar y permanecer\u00e1 en disponible. Es bastante poco probable que la bajen si no se paga el rescate. Las organizaciones v\u00edctimas tratan de minimizar todo y est\u00e1 bien, pero es un hecho importante y grave\u201d, agreg\u00f3 Zurdo.<\/p>\n\n\n\n

El ataque a CNV es uno m\u00e1s de una larga serie de golpes que afectaron a sistemas argentinos. Y sus efectos pueden ser bien concretos. Recientemente, el INTA fue atacado<\/strong> y debi\u00f3 sacar de funcionamiento radares meteorol\u00f3gicos<\/a> que utiliza para colaborar con el Servicio Meteorol\u00f3gico Nacional y asistira a los productores. Tambi\u00e9n la Super Intendencia de Seguros<\/strong> fue blanco de un ataque y un proveedor de la industria farmac\u00e9utica<\/strong> golpeado gener\u00f3 toda clase de inconvenientes a los pacientes<\/a> que se acercaban a las farmacias a comprar medicamentos pero no lograban hacer valer sus membres\u00edas a empresas de medicina prepaga u obras sociales.<\/p>\n","protected":false},"excerpt":{"rendered":"

El ente regulador del mercado de capitales argentino, la Comisi\u00f3n Nacional de Valores (CNV), comunic\u00f3 este \u00faltimo fin de semana que fue v\u00edctima de un ataque cibern\u00e9tico. La entidad, cuyos datos registran las operaciones diarias del mercado financiero y que por su rol de control tiene acceso a informaci\u00f3n sensible de miles de inversores y empresas emisoras […]<\/p>\n","protected":false},"author":1,"featured_media":71725,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[],"class_list":["post-71724","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-economia"],"_links":{"self":[{"href":"https:\/\/legislaturahoy.com\/index.php?rest_route=\/wp\/v2\/posts\/71724","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/legislaturahoy.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/legislaturahoy.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/legislaturahoy.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/legislaturahoy.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=71724"}],"version-history":[{"count":0,"href":"https:\/\/legislaturahoy.com\/index.php?rest_route=\/wp\/v2\/posts\/71724\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/legislaturahoy.com\/index.php?rest_route=\/wp\/v2\/media\/71725"}],"wp:attachment":[{"href":"https:\/\/legislaturahoy.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=71724"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/legislaturahoy.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=71724"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/legislaturahoy.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=71724"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}