Ransomware Netwalker atingiu a agência oficial de imigração da Argentina

A agência oficial de imigração da Argentina, Dirección Nacional de Migraciones, foi atingida por um ataque de ransomware da Netwalker que interrompeu a passagem de fronteira para dentro e para fora do país por quatro horas.

Os operadores de ransomware também exfiltraram dados confidenciais das agências, conforme relatado pela mídia local.

“Um grupo de hackers entrou no banco de dados da Direção Nacional de Migração em meio à pandemia do coronavírus, roubou informações e pede um resgate milionário para devolver os arquivos, segundo o próprio órgão por meio de sua procuradora, María Eugenia Lachalde”, informou o Infobae .

De acordo com uma denúncia criminal publicada pela Unidade Fiscal Especializada em Ciberdelincuencia da Argentina, a agência começou a receber várias ligações de suporte técnico de pontos de controle por volta das 7h do dia 27 de agosto.

Em resposta à infecção, a agência oficial de imigração da Argentina desligou sua rede para evitar que o ransomware se espalhe para outros sistemas.

“Aproximadamente às 7h00 do dia indicado no parágrafo anterior, a Direcção de Tecnologia e Comunicações da Direcção-Geral de Sistemas e Tecnologias de Informação desta Organização recebeu numerosas chamadas de vários postos de controlo a solicitar apoio técnico.” lê a denúncia criminal .

“Este percebeu que não se tratava de uma situação normal, por isso avaliou-se a situação da infraestrutura da Central de Dados e Servidores Distribuídos, constatando a atividade de um vírus que havia afetado os sistemas de arquivos baseados em MS Windows (ADAD SYSVOL e SYSTEM CENTER DPM principalmente) e arquivos do Microsoft Office (Word, Excel, etc.) existentes nos trabalhos dos usuários e pastas compartilhadas, ”

O encerramento da rede levou à suspensão temporária das passagens de fronteira por quatro horas.

“A Direcção Nacional de Migração (DNM), dependente do Ministério do Interior, informa que conseguiu conter uma tentativa de ciberataque ao organismo, que provocou a queda dos serviços, que estão a ser gradualmente restaurados.” lê o comunicado publicado pela Direcção Nacional de Migração (DNM).

“O Sistema Integral de Captura Migratória (SICaM) que opera nas travessias internacionais foi particularmente afetado, o que causou atrasos na entrada e saída para o território nacional.”

Fontes governamentais confirmaram que não pagarão o resgate e não negociarão com os operadores de ransomware da Netwalker, que exigem um resgate de US $ 4 milhões.

De acordo com o BleepingComputer , os operadores de ransomware da Netwalker inicialmente exigiram um resgate de US $ 2 milhões, a quantia dobrou depois de sete dias.

Recentemente, o FBI  emitiu um alerta de segurança  sobre ataques de ransomware da Netwalker que visam organizações governamentais dos Estados Unidos e de outros países.

Os federais estão recomendando às vítimas que não paguem o resgate e relatem os incidentes aos escritórios locais do FBI.

O alerta instantâneo também inclui indicadores de comprometimento do ransomware Netwalker, juntamente com atenuações.

O FBI alerta sobre uma nova onda de ataques de ransomware da Netwalker que começou em junho. A lista de vítimas inclui a  UCSF School of Medicine  e o gigante australiano de logística  Toll Group .

Os operadores de ransomware da Netwalker têm estado muito ativos desde março e também  aproveitaram o surto de COVID-19 em andamento  para organizações-alvo.

Os agentes de ameaças inicialmente alavancaram e-mails de phishing entregando um carregador Visual Basic Scripting (VBS), mas desde abril de 2020, os operadores de ransomware Netwalker começaram a explorar dispositivos vulneráveis ​​de Rede Privada Virtual (VPN), componentes de interface de usuário em aplicativos da web ou senhas fracas de Protocolo de Área de Trabalho Remota conexões para obter acesso às redes de suas vítimas.

Recentemente, os operadores de ransomware da Netwalker estavam procurando novos colaboradores que possam fornecer acesso a grandes redes corporativas. 

Abaixo as atenuações recomendadas fornecidas pelo FBI:

• Faça backup de dados críticos offline.
• Certifique-se de que as cópias dos dados críticos estejam na nuvem ou em um disco rígido externo ou dispositivo de armazenamento.
• Proteja seus backups e certifique-se de que os dados não estejam acessíveis para modificação ou exclusão do sistema onde os dados residem.
• Instale e atualize regularmente o software antivírus ou antimalware em todos os hosts.
• Use apenas redes seguras e evite usar redes Wi-Fi públicas.
• Considere instalar e usar uma VPN.
• Use a autenticação de dois fatores com senhas fortes.
• Mantenha os computadores, dispositivos e aplicativos com patches e atualizados.

Fonte: https://securityaffairs.co/wordpress/107987/malware/netwalker-ransomware-argentina-immigration-agency.html