Micitt informó de publicación de posible ataque, pero Hacienda alega que no tiene evidencia de extracción de datos

La supuesta actividad maliciosa identificada es la de Conti, un sistema malicioso o malware perteneciente a la familia de los ransomware y que utiliza la modalidad de extorsión con sus víctimas. Esta modalidad fue observada desde el año 2019 por este tipo de ciberdelincuentes a nivel global.

El Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), al cual pertenece el CSIRT-CR, recalcó que ante las amenazas de incidentes de ciberseguridad se cuenta con un protocolo de atención de incidentes, el cual fue enviado al Ministerio de Hacienda y se suma a los propios protocolos de seguridad con los que ya cuenta el Ministerio.

“Parte de estos protocolos incluye suspender de forma temporal algunos servicios para garantizar la operación y la seguridad de la información, mientras se determina si existió o no un incidente informático”, dijo Jorge Mora, director de gobernanza digital en Micitt.

Micitt indicó que el equipo del Ministerio de Hacienda le confirmó que su equipo se encuentra trabajando para determinar si existe evidencia de algún ransomware dentro de sus sistemas y que hasta el momento no tienen evidencia que se haya extraído información sensible de las personas o de la institución.

Asimismo, Hacienda habría confirmado que sus sistemas utilizan cifrado en el almacenamiento de contraseñas, por lo que estas se encontrarían seguras y no habría evidencia de riesgo de sustracción de algún tipo de credencial.

Mora también indicó que el CSIRT-CR del Micitt constantemente envía alertas técnicas acerca de actualizaciones de seguridad para diferentes sistemas y recomendaciones a seguridad a todo el sector público y el sector financiero del país.

¿Qué es Conti?

Copiado!

La existencia y las alertas sobre este ransomware conocido como Conti se registran desde setiembre del 2021. Según Micitt, tanto en ese momento como el pasado 15 de marzo del presente año el CSIRT-CR envió alertas a todas las instituciones del Estado, sobre esta amenaza informática.

Micitt indicó que el CSIRT-CR se encuentra en contacto con el equipo de dicho Ministerio y también con agencias internacionales que puedan actualizarlos acerca de nuevos indicadores de compromiso relacionados con estos ciberdelincuentes para poder actualizar a todas las instituciones del país.

Por su parte, la firma Eset explicó que Conti es un malware que pertenece a la familia de los ransomware, el cual fue visto por primera vez entre octubre y diciembre de 2019. Opera como un Ransomware as a Service (RaaS).

“Esto significa que los desarrolladores ofrecen el ransomware en foros clandestinos para reclutar afiliados, que son quienes se ocupan de la distribución de la amenaza a cambio de un porcentaje de las ganancias obtenidas por el pago de los rescates”, dice Fernando Tavella, en un blog de Eset.

Conti suele utilizar la modalidad doble extorsión, también conocida como doxing, que consiste en exfiltrar información confidencial de sus víctimas previo al cifrado para luego extorsionarlas amenazándolas con publicar información exfiltrada a menos que paguen el monto de dinero exigido.

De esta forma aumentan la presión, ya que no solo se trata de recuperar los archivos cifrados, sino también de evitar una posible brecha de información que podría perjudicar a la víctima de diversas maneras; por ejemplo, dañando su reputación.

“Esta modalidad se observó por primera vez en 2019 con el ransomware Maze y rápidamente fue adoptada por otras bandas criminales”, dijo Tavella.