La policía de una ciudad de Texas pierde 8 años de evidencia por un ataque de ransomware

El Departamento de Policía de la ciudad de Cockrell Hill, Texas, ha perdido un forcejeo contra cibercriminales chantajistas que resultó en la pérdida de toda la documentación almacenada en sus servidores desde 2009.

Un programa malicioso se infiltró en los servidores del Departamento de Policía engañando a un oficial del Departamento con correo electrónico fraudulento. El mensaje decía ser del mismo departamento y urgía al oficial a pulsar en un enlace malicioso que descargó el programa chantajista (ransomware) en el equipo del Departamento.

El programa se esparció en la red del departamento y cifró el contenido de los equipos afectados para que sus dueños no pudieran tener acceso a ellos. Los criminales ofrecieron devolver al Departamento el control sobre su información a cambio de que le pagara un rescate de 4 bitcoins, o alrededor de 3.600 dólares al cambio actual.

La policía se negó a pagar el rescate para no caer en la trampa de los criminals: “al consultar con el FBI se determinó de que no existía garantía alguna de que se nos entregara la llave de descifrado, por lo que tomamos la decisión de abortar la transferencia de Bitcoins y concentrarnos en aislar y eliminar el virus del servidor”, dijo un portavoz de la policía.

No se sabe si los cibercriminales habrían cumplido con su palabra si se les pagaba, pero sí cumplieron con sus amenazas cuando no recibieron el dinero: destruyeron la llave de descifrado de los datos y eliminaron así cualquier posibilidad de recuperarlos.

Los datos perdidos incluyen todos documentos de Microsoft Office, fotografías y archivos de video, incluyendo las filmaciones en automóviles y cámaras de vigilancia que se guardaban como evidencia de diferentes casos criminales.

Parte de la información tenía copias de seguridad en CDs y DVDs, pero la más reciente no estaba respaldada con copias de seguridad. Lo más alarmante de la pérdida de esta información es que corresponde a los últimos casos criminales, muchos de ellos todavía abiertos o en proceso de investigación. Aun así, el jefe de policía Stephen Barlag dijo que “ninguno [de los datos cifrados] tenía información crítica”.

El canal de noticias WFAA, que dio a conocer la historia, dijo que la policía había descubierto la infección en Diciembre pero había mantenido oculto el problema. Se comenzó a sospechar que había problemas cuando “el departamento comenzó a alertar a los abogados de defensa que las evidencias de video en algunos casos criminales ya no existía”.

El comunicado de prensa de la policía dijo que el ataque había sido realizado por el ransomware OSIRIS. Sin embargo, no se conoce ningún programa chantajista con ese nombre: es posible que se refieran a una variante de Locky, que unos días antes había comenzado a usar la extensión .osiris al final de los datos cifrados.

Fuentes

Trip Wire

Bleeping Computer

The Register

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *