L’agenzia ufficiale per l’immigrazione argentina, Dirección Nacional de Migraciones, è stata attaccata con Netwalker ransomware, che ha temporaneamente bloccato i valichi di frontiera in entrata e in uscita dal paese, secondo Bleeping Computer.
Sebbene gli attacchi ransomware contro le città e le agenzie locali siano diventati fin troppo comuni, questo potrebbe essere il primo attacco noto contro un’agenzia federale che ha sconvolto un intero paese.
Secondo una denuncia penale pubblicata dall’agenzia argentina per la criminalità informatica Unidad Fiscal Especializada en Ciberdelincuencia, il governo è venuto a conoscenza dell’attacco ransomware dopo aver ricevuto numerose chiamate di supporto tecnico dai punti di controllo di sicurezza intorno alle 7:00 del 27 agosto.
"È stato scoperto che questa non è una situazione comune, poiché è stata rilevata l’attività di un virus che ha interessato i file di sistema basati su MS Windows (principalmente ADAD SYSVOL e SYSTEM CENTER DPM) e i file di Microsoft Office (Word, Excel, ecc.), che si trova negli spazi di lavoro e nelle cartelle pubbliche degli utenti", si legge nella traduzione della denuncia.
Per impedire al ransomware di infettare altri dispositivi, le reti di computer utilizzate dai punti di controllo dell’immigrazione e della sicurezza sono state disattivate.
Secondo il sito di notizie argentino Infobae, ciò ha comportato una sospensione temporanea dei valichi di frontiera per quattro ore fino a quando i server non sono stati portati online.
"Il Sistema integrato di controllo della migrazione (SICaM), che opera ai valichi di frontiera internazionali, è stato particolarmente colpito, con conseguenti ritardi nell’ingresso e nell’uscita dal territorio nazionale", ha affermato la Direzione nazionale per le migrazioni (DNM).
Fonti governative hanno detto a Infobae che "non negozieranno con gli hacker e non sono eccessivamente preoccupati di ottenere questi dati".
Netwalker chiede un riscatto di 4 milioni di dollari
Quando Netwalker esegue un attacco, lascia note di riscatto sui dispositivi crittografati. Queste note di riscatto contengono collegamenti a un losco sito Web di pagamento che contiene informazioni su come acquistare il decryptor, l’importo del riscatto e i dettagli di eventuali file non crittografati che sono stati rubati durante l’attacco.
BleepingComputer è riuscito a visitare la pagina di pagamento di Netwalker sulla rete Tor, dove ha appreso che gli aggressori avevano inizialmente chiesto un riscatto di 2 milioni di dollari .
Dopo sette giorni, l’importo del riscatto è aumentato a $ 4 milioni, o circa 355 bitcoin, come mostrato di seguito nell’immagine della pagina di riscatto della Dirección Nacional de Migraciones.
Immagine: Computer che emette un segnale acustico
Questo sito ha anche una pagina "Stolen Data" che mostra uno screenshot dei dati rubati da "Migraciones Argentina" durante questo attacco.
Immagine: Computer che emette un segnale acustico