El Poder Judicial de Córdoba, en Argentina, ha apagado sus sistemas informáticos tras sufrir un ataque de ransomware, al parecer a manos de la nueva operación de ransomware ‘Play’.
El ataque se produjo el sábado 13 de agosto y provocó el cierre de los sistemas informáticos del Poder Judicial y de su portal online. La interrupción también está obligando a utilizar lápiz y papel para presentar documentos oficiales.
En un «Plan de Contingencia de Ciberataque» compartido por Cadena 3, el Poder Judicial confirmó que fue atacado por un ransomware y se comprometió con Microsoft, Cisco, Trend Micro y especialistas locales para investigar el ataque.
Según Clarín, las fuentes dijeron que el ataque afectó los sistemas informáticos del Poder Judicial y sus bases de datos, lo que lo convierte en el «peor ataque a instituciones públicas de la historia.»
Aunque el Poder Judicial no ha revelado los detalles del ataque, el periodista Luis Ernest Zegarra tuiteó que fueron atacados por un ransomware que añade la extensión «.Play» a los archivos cifrados.
Esta extensión está asociada a la nueva operación de ransomware «Play» que se lanzó en junio de 2022, cuando las víctimas comenzaron a describir sus ataques en los foros de BleepingComputer.
Como todas las operaciones de ransomware, los actores de la amenaza comprometen una red y cifran los dispositivos. Al cifrar los archivos, el ransomware añadirá la extensión .PLAY.
Sin embargo, a diferencia de la mayoría de los ransomware que dejan largas notas de rescate para amenazar a sus víctimas, las notas de rescate de Play son inusualmente simples.
En lugar de crear notas de rescate en todas las carpetas, la nota de rescate ReadMe.txt de Play sólo se hace en la raíz del disco duro (C:) y simplemente contiene la palabra ‘PLAY’ y una dirección de correo electrónico de contacto.
Se desconoce cómo Play vulneró la red del Poder Judicial, pero se filtró una lista de direcciones de correo electrónico de empleados como parte de la vulneración de Lapsus$ de Globant en marzo, lo que puede haber permitido a los actores de la amenaza realizar un ataque de phishing para robar credenciales.
