Blog

El Poder Judicial de Córdoba ha sido comprometida por la banda de Ransomware PLAY

El día 13 de agosto del presente año, el departamento del poder judicial de Córdoba, Argentina, cerró de manera repentina sus sistemas informáticos, después de haber sufrido un ataque informático de gran impacto, el hecho fue categorizado como un ataque de Ransomware y que supuestamente fue llevada a cabo por la nueva banda de Ransomware, Play.

El ataque obligo al poder judicial el cerrar y bajar los sistemas de TI de la organización gubernamental y de su portal en línea, debido a la severidad de los daños que el ransomware. La interrupción también esta obligando a los funcionarios públicos el utilizar lápiz y papel para presentar documentos oficiales, hasta que el hecho sea mitigado por completo.

Imagen: CronUp Ciberseguridad

En un «Plan de Contingencia de Ciberataque» compartido por Cadena 3, el Poder Judicial confirmó que fue golpeado por un ransomware y se comprometió con Microsoft, Cisco, Trend Micro y diferentes especialistas locales para investigar el ataque y estar mejores preparados ante hechos de similares características.

Según el medio de comunicación argentino, Clarín, informa que las fuentes dijeron que el ataque afectó los sistemas informáticos del Poder Judicial y sus bases de datos, lo que lo convierte en el «peor ataque a instituciones públicas de la historia«.

Si bien el Poder Judicial no ha revelado detalles del ataque, el periodista Luis Ernest Zegarra tuiteó que fueron golpeados por un ransomware que agrega el «. Play» en la extensión a archivos cifrados. Como todas las operaciones de ransomware, los actores de amenazas siempre comprometerán una red y cifrarán los dispositivos, una vez realizado los ataques de persistencia, y quizás, exfiltración de archivos, se pasa la primera etapa que todo Ransomware realiza, el sobrescribir la información de los archivos y reemplazándolos con los archivos cifrados con la extensión del actor de amenaza, en este caso, .PLAY.

Sin embargo, a diferencia de la mayoría de las operaciones de ransomware que dejan largas notas de rescate para emitir amenazas graves a sus víctimas, las notas de rescate de Play son inusualmente simples.

En lugar de que se creen notas de rescate en cada carpeta, la nota de rescate ReadMe.txt de Play solo se realiza en la raíz de un disco duro (C:\), y simplemente contiene la palabra ‘PLAY’ y una dirección de correo electrónico de contacto.

Imagen: CronUp Ciberseguridad

Hasta el momento de realizar esta publicación, se desconoce cómo la banda «Play» logró violar la red del Poder Judicial, pero se filtró una lista de direcciones de correo electrónico de los empleados como parte de la violación de Globant el pasado mes de Marzo, por miembros de la banda criminal, Lapsus$, lo que puede haber permitido a los actores de amenazas realizar un ataque de phishing para robar las credenciales y llevar a cabo una campaña de ingeniería social que diera como resultado el comprometer la red de la organización.

Actualmente no existe algún tipo de exfiltración de datos asociada con la banda de ransomware, y menos ninguna de indicación de que los datos hayan sido robador durante el ataque contra el poder judicial de Córdoba.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required