Un ataque perpetrado por hackers mantiene los sistemas informáticos del Servicio Nacional del Consumidor (Sernac) sin poder operar con normalidad por quinto día consecutivo. Así lo confirmaron a Pulso desde el organismo pro consumidor.
Según detallaron, los equipos técnicos de la entidad están aún trabajando en el incidente, que comenzó a afectar sus sistemas desde el jueves pasado. En dicha oportunidad, el servicio dependiente del Ministerio de Economía comunicó el hecho, señalando que se encontraba trabajando “para resolver la situación en el corto plazo”.
Sin embargo, la vulneración aún no logra ser resulta y el ente técnico del Gobierno que monitorea estos eventos, el Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, emitió una alerta “a la comunidad del Estado y entidades en convenio de colaboración para que pongan especial atención sobre esta amenaza”, y reconoce que el incidente se mantiene “en progreso”.
En su declaración, el CSIRT afirma haber identificado que la amenaza corresponde a ransomware “que afectó servidores Microsoft y VMware ESXi en redes corporativas” del Sernac.
“El ransomware en cuestión tiene la capacidad de detener todas las máquinas virtuales en ejecución y cifrar archivos relacionados con las máquinas virtuales”, detalla el CSIRT.
En su comunicación, explican que con la infección, los archivos asumen la la extensión “.crypt”, lo que permite al atacante “tomar control completo del sistema de la víctima y deja un mensaje de rescate informando la cantidad de datos secuestrados, ofreciendo un canal de comunicación y un ID específico para contactarse con ellos”.
El atacante estaría dando un plazo de tres días para comunicarse con ellos, o “de lo contrario amenaza con impedir que los datos sean accesibles para la organización y poner estos activos a la venta a terceros en la darkweb”.
Según el CSIRT, el ransomware utilizaría el algoritmo de cifrado de clave pública NTRUEncrypt, dirigido a archivos de registro (.log), archivos ejecutables (.exe), archivos de bibliotecas dinámicas (.dll), archivos de intercambio (.vswp), discos virtuales (.vmdk), archivos de instantáneas (.vmsn) y archivos de memoria (.vmem) de máquinas virtuales, entre otros.
Así, el programa malicioso que ha realizado el ransomware cuenta también con características de infostealer.
El ente técnico entregó una serie de recomendaciones a todos los organismos del Estado, como “asegurar que todos los componentes de sus sistemas estén protegidos por programas antivirus, antimalware y firewall con sus licencias vigentes”, además de contar con “respaldos para sus datos y procesos más importantes, los que deben estar separados (en el mejor de los casos, incluso físicamente) de los activos que respaldan y protegidos adecuadamente con firewalls y protocolos de seguridad”, entre otras.
Sernac presentó denuncia al Ministerio Público
Ante las consultas de Pulso, desde el Sernac aclararon que el software malicioso fue detectado “durante la semana pasada” y que “desde ese momento, el servicio, junto al Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT) del Ministerio del Interior, están trabajando para a resolver esta situación”.
Agregaron que “a las pocas horas de conocidos estos hechos, el Sernac presentó una denuncia ante el Ministerio Público y la fiscalía está a cargo de la investigación del caso, por lo que no es posible entregar mayores antecedentes”.
Desde el servicio afirmaron estar “ocupados desde el primer momento en trabajar para solucionar este asunto y lamentamos las molestias momentáneas que pueda generar en nuestros usuarios”.
Finalmente, afirmaron que el sitio web del Sernac “se ha ido habilitando de manera paulatina”, por lo que llamaron a los consumidores a ingresas sus reclamos al call center 800 700 100 o presencialmente en las oficinas de atención presentes en cada una de las capitales regionales del país.