El Poder Judicial de Córdoba de Argentina cerró sus sistemas informáticos luego de sufrir un ataque de ransomware, supuestamente a manos de la nueva operación de ransomware ‘Play’.
El ataque ocurrió el sábado 13 de agosto, lo que provocó que el Poder Judicial cerrara los sistemas informáticos y su portal en línea. El apagón también obliga al uso de lápiz y papel para la presentación de documentos oficiales.
En un ‘ Plan de Contingencia de Ciberataque ‘ compartido por Cadena 3, el Poder Judicial confirmó que fue atacado por ransomware y se comprometió con Microsoft, Cisco, Trend Micro y especialistas locales para investigar el ataque.
“El ciberataque sufrido por la infraestructura tecnológica de la Corte de Córdoba el sábado 13 de agosto de 2022 por un ransomware que ha comprometido la disponibilidad de sus servicios informáticos”, se lee en una sección traducida por Google del plan.
Clarín informa que fuentes señalaron que el ataque afectó los sistemas informáticos del Poder Judicial y sus bases de datos, convirtiéndose en “el peor ataque a instituciones públicas de la historia”.
Ataque vinculado a Play ransomware
Si bien el Poder Judicial no ha revelado detalles del ataque, el periodista Luis Ernest Zegarra tuiteó que fueron atacados por ransomware que agrega la extensión “.Play” a los archivos encriptados.
Esta extensión está asociada con la nueva operación de ransomware ‘Play’ que se lanzó en junio de 2022, cuando las víctimas comenzaron a describir sus ataques en los foros de BleepingComputer .
Como todas las operaciones de ransomware, los actores de amenazas pondrán en peligro una red y cifrarán los dispositivos. Al cifrar archivos, el ransomware agregará la extensión .PLAY como se muestra a continuación.
Sin embargo, a diferencia de la mayoría de las operaciones de ransomware que dejan largas notas de rescate para generar graves amenazas a sus víctimas, las notas de rescate de Play son inusualmente simples.
En lugar de crear notas de rescate en cada carpeta, la nota de rescate ReadMe.txt de Play solo se crea en la raíz de un disco duro (C:\) y simplemente contiene la palabra ‘PLAY’ y una dirección de correo electrónico de contacto.
Se desconoce cómo Play violó la red del Poder Judicial, pero se filtró una lista de las direcciones de correo electrónico de los empleados como parte de la violación de Globant por Lapsus$ en marzo, lo que puede haber permitido a los actores de amenazas realizar un ataque de phishing para robar credenciales.
No hay fuga de datos asociada con la pandilla de ransomware ni ninguna indicación de que los datos sean robados durante los ataques.
Esta no es la primera vez que una agencia gubernamental en Argentina sufre un ataque de ransomware. En septiembre de 2020, la banda de ransomware Netwalker atacó a la Dirección Nacional de Migraciones y exigió un rescate de $4 millones.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
