Publicaron los datos de la CNV: hay información sensible y datos privados
Se venció el plazo: el grupo de ransomware Medusa publicó los archivos robados a la Comisión Nacional de Valores de Argentina. Análisis de expertos.
[Envío con información de último momento]
19 jun
🔓 El grupo de ransomware Medusa publicó los datos de la CNV
El grupo de ransomware Medusa, que había publicado entre sus víctimas a la Comisión Nacional de Valores (CNV) el domingo 11 de junio, publicó los datos que lograron sustraerle a la entidad que supervisa los mercados en la Argentina.
A pesar de que en un comunicado oficial la CNV había asegurado que no había datos sensibles comprometidos, el TB y medio de información que subieron demuestra lo contrario: hay una gran cantidad de documentos de caracter confidencial.
SecOps se contactó con Mauro Eldritch, analista de amenazas de Birmingham Cyber Arms, para analizar el leak. En primer lugar, lo que robó y público Medusa es lo que se podía ver en el preview:
Analizando el filetree (árbol de ficheros publicado por el actor de ransomware) vemos que - en principio - se trataría de una filtración que abarca 8 volúmenes: uno etiquetado como CNS_MAIN, 5 como FS -filesystems, volúmenes/discos- y 2 como SQL (bases de datos).
En los volúmenes etiquetados como SQL se listan bases de datos cuyos nombres referencian al BackOffice de Prensa, Bolsa de Reportes, CAFirmantes, Calificadoras, Fideicomisos, Fondos Comunes, Invertir, RRHH, Registro, RESOL, CNV y CNVWeb, todas aludiendo también en su nombre que pertenecen a entornos de Producción.
En el volúmen "MAIN" los nombres de directorios y archivos aluden a información financiera, de recursos humanos, escaneos de documentos, y hasta planos en formato CAD.
En los demás encontramos directorios que mencionan Informes de a DyEMC, Intranet de la CNV, Comité de Seguridad, Comunicación Interna, Denuncias, Directorio de Prensa, Fichas de Sociedades, GDE, mesa Fintech, Mercosur, e incluso información sobre CEDEARS.
Quizás la información más sensible es esta:
Particularmente uno de los volúmenes contiene información crítica de seguridad sobre la infraestructura, mencionando Logs de Firewalls y Proxies, incluyendo uno de la DMZ de ARSAT.
Como cierre, una carpeta llamada "hola" lista archivos en texto plano (DOC, PDF, Excel) con claves del organismo.
Una segunda pregunta para hacerse es cómo trabaja este grupo de ransomware:
Medusa es muy particular a la hora de difundir la información. Al igual que con el grupo Garbarino, una vez vencido el contador de tiempo, los datos no quedan automáticamente disponibles, sino que se habilita un botón que dispara un pop-up con una dirección de TOX (chat seguro utilizado por varios actores de la escena del ransomware).
Usan, a su vez, otros canales de comunicación:
Sin embargo no es plausible transferir una filtración por esa vía e individualmente a cada parte interesada, por lo que utilizan también canales de Telegram donde, en forma bastante desprolija, comparten la información en forma de volúmenes comprimidos.
🕵 Sobre Medusa y la protección de datos sensibles
En el envío del domingo 11 conté un poco cómo opera esta banda cibercriminal.
"Medusa lleva operando desde mediados de 2021, pero ha aumentado su nivel de actividad en los últimos meses. El grupo comparte los datos robados de múltiples formas: en la Dark Web, la clearnet [internet accesible a cualquier usuario], Twitter, Facebook y por Torrent", contextualizó a este medio Brett Callow, experto en análisis de amenazas de Emsisoft.
"Tenemos pocos datos sobre quién está detrás de la operación o dónde tiene su sede, pero hay algunas pruebas que indican vínculos con Rusia o Ucrania", arriesgó. Según Crowdstrike, Turquía sería otro país con el cual tienen vínculos.
“Medusa ha listado entre sus víctimas a petroleras, aeronáuticas, casinos, organismos públicos, clínicas, escuelas e iglesias. En Argentina listó a Garbarino y este domingo, a la Comisión Nacional de Valores cuyo sitio estuvo en mantenimiento hace tan sólo 72 horas atrás”, sumó Eldritch.
Por último, Marcela Pallero, Responsable del Programa STIC de la Fundación Sadosky, interpretó qué debería hacer la CNV: por supuesto, comunicar este incidente o, en todo caso, aclararlo (o desmentirlo).
“La Comisión Nacional de Valores es un organismo descentralizado de la Administración Pública. Como el Banco Central, habría que ver si están obligados en la Decisión Administrativa 641/2021 de requisitos mínimos de seguridad de la información, o si la implementaron de manera voluntaria”, explicó.
“No obstante, por la regulación que ellos mismos tienen para algunos de sus regulados, se infiere que tienen personal que entienden de ciberseguridad. La pregunta sería si ellos mismos la aplican para su organismo (tienen una normativa desde 2017 sobre el tema)”, agregó la experta en regulaciones sobre seguridad de la información.
El problema más grande, sin dudas, es que el comunicado de la CNV sostenía que no había información interna comprometida y la publicación de Medusa pone en evidencia la falsedad de la comunicación oficial.