Un informe determinó que el virus que afectó al Poder Judicial del Chaco es “malware sumamente peligroso y efectivo” porque es “complejo y efectivo y difícil de combatir en su acción, incluso con antivirus actualizados”.
El Superior Tribunal de Justicia del Chaco recibió el informe técnico del Laboratorio de Investigación y Desarrollo de Tecnología en Informática Forense (InFoLab) de la Universidad FASTA a raíz del ciberataque que sufrió el Poder Judicial en enero último.
Se trató de “Hive Ransomware”, esto es, un código malicioso que “implementa las funcionalidades de cifrado de la información de un equipo infectado, imposibilitando la recuperación de los datos. Los atacantes que operan tras este malware intentan luego extorsionar a las víctimas a partir de la exigencia de un pago para recuperar la información”.
Según el informe, “hay una organización que lo administra, con fines claramente delictivos, agregando mayor incertidumbre al ataque y, por ende, mayor complejidad al abordaje, tanto ex ante como ex post al ataque del mismo”.
Señaló, en este sentido, que hasta octubre de 2021 ha habido al menos 355 víctimas, y que “el pago del rescate exigido no siempre garantiza la recuperación de la información, constituyendo esto un doble riesgo para la víctima”. El FBI (Federal Bureau of Investigation) ya había alertado sobre este virus el año pasado.
Este tipo de ciberataque es “llevado a cabo por humanos, no por un software que se ejecuta de manera independiente o autónoma”. Y añade: “Este es un escenario más complejo para la defensa por parte de la institución, ya que un atacante humano puede analizar la situación y adaptarse a los distintos escenarios y obstáculos con que se encuentra”.
En cuanto a los ataques, el documento advierte que “una vez que logran obtener acceso a la institución, establecen una herramienta de control remoto y luego comienzan a propagar la infección con estas herramientas a lo largo de la red de la institución”.
Este tipo de ciberataque es “llevado a cabo por humanos, no por un software que se ejecuta de manera independiente o autónoma”. Y añade: “Este es un escenario más complejo para la defensa por parte de la institución, ya que un atacante humano puede analizar la situación y adaptarse a los distintos escenarios y obstáculos con que se encuentra”.
Al momento de ejecutar el virus, “este deshabilita servicios del sistema operativo, y antivirus que puedan encontrarse presentes en la computadora donde se ejecuta”, como también modifica los permisos de acceso a los archivos. Asimismo, el cifrado de archivos se concentra en la información que supone “de mayor importancia para el usuario, e intenta lograrlo de la manera más rápida posible”.
Concretamente, se detienen varios procesos y se deshabilitan muchos servicios en el sistema operativo, “la interrupción de estos servicios y procesos busca que no haya ningún bloqueo de acceso a los archivos al momento de cifrarlos, ya sea por un servicio de antivirus, servicios de seguridad y protección, o procesos que puedan estar accediendo a un archivo y retengan el acceso al mismo. En este sentido, el propio malware evita la acción de los antivirus, dejando a estos ‘fuera de combate’”.
Por último, el informe indica que “una vez terminado el proceso de cifrado de los archivos, se hace un proceso de limpieza de datos sobre el disco, de manera que no puedan realizarse tareas de recuperación de información sobre el equipo infectado. Finalmente, se copia la ‘nota de rescate’ para que el usuario pueda verla”.