De hackers eisten 4 miljoen dollar aan Bitcoin voor de decryptor en voor het verwijderen van de gestolen bestanden
Overheidsfunctionarissen van de officiële immigratiedienst van Argentinië, de Dirección Nacional de Migraciones, hebben geweigerd met een groep ransomware hackers te onderhandelen, die het land op 27 augustus heeft gedwongen alle immigratiecontrolepunten voor een korte periode te sluiten.
Een rapport dat op 6 september door de technische nieuwswebsite Bleeping Computer werd vrijgegeven, onthult dat een groep Netwalker ransomware hackers de Dirección Nacional de Migraciones had gehackt en een betaling van 2 miljoen dollar had geëist om hun servers te herstellen.
De hackers stuurden via een Tor betalingspagina een losgeldbrief. Terwijl ze hun aanvankelijke eis voor de decryptor plus het verwijderen van de gestolen bestanden eerst op 2 miljoen dollar hadden vastgesteld, werd het bedrag na zeven dagen tot 4 miljoen dollar verhoogd.
Een strafrechtelijke klacht gepubliceerd door het Argentijnse bureau voor cybercriminaliteit, Unidad Fiscal Especializada en Ciberdelincuencia, onthulde dat de regering voor het eerst van de aanvallen hoorde nadat ze rond 7.00 uur verschillende telefoontjes van controleposten voor een technische ondersteuning hadden ontvangen.
Als bewijs dat zij de groep waren die verantwoordelijk was voor de hack, plaatsten ze gevoelige data van het immigratiebureau.
Het Argentijnse nieuwskanaal Infobae meldde dat de omvang van de aanval de immigratiedienst ertoe dwong om alle grensovergangen van en naar het land vier uur lang stil te leggen. Tijdens deze sluiting hebben de autoriteiten tevens alle computernetwerken offline gehaald die door de immigratieambtenaren bij regionale kantoren en controlepunten gebruikt werden.
De regeringsfunctionarissen hebben naar verluidt verklaard dat ze “niet met hackers zullen onderhandelen”, en niet bezig zijn met het achterhalen van de gestolen gegevens.
Hoewel ransomware hackers overal ter wereld kunnen toeslaan, is deze situatie in Argentinië één van de zeldzame voorbeelden die aantonen hoe een cyberaanval een nationale overheidsinstantie kan lamleggen. Dit is mogelijk de eerste bekende aanval op een federale instantie die de operaties van een land effectief heeft onderbroken.
Brett Callow, een dreigingsanalist en ransomware expert bij het Emsisoft malware lab, zei dat deze aanvallen een ernstig veiligheidsrisico vormen.
“In het geval van overheidsdiensten is dit bijzonder problematisch omdat de gegevens vaak extreem gevoelig kunnen zijn en in sommige gevallen zelfs een risico voor de nationale veiligheid vormen. Meer dan 1 op de 10 ransomware aanvallen houdt momenteel een gegevensdiefstal in, en de lijst met groepen die routinematig stelen groeit gestaag. Daarom is het zeer waarschijnlijk dat incidenten als deze steeds vaker zullen voorkomen.”