
La inteligencia artificial de Europa, Mistral AI, busca impulsar la innovación en IA dentro del continente, además de seguir y respetar la normativa europea
Trinity Ransomware Group, un grupo de ciberdelincuentes especializado en el secuestro de información para cobrar un rescate, asegura que ha sustraído 560 GB de datos de la Agencia Española de la Administración Tributaria (AEAT)
Tecnología Sala de redacciónTrinity Ransomware Group, un grupo de ciberdelincuentes especializado en el secuestro de información para cobrar un rescate, asegura que ha sustraído 560 GB de datos de la Agencia Española de la Administración Tributaria (AEAT).
El grupo es conocido en el mundo del cibercrimen y en octubre el Centro de Ciberseguridad del Sector Salud (HC3) del gobierno de Estados Unidos advirtió que estaba atacando instalaciones estratégicas y al menos un hospital del país había caído víctima de sus ataques.
La Agencia no confirma el ataque y asegura que “no ha detectado ningún indicio de posibles equipos cifrados o salidas de datos” y que mantiene “bajo observación todos sus sistemas”, que están funcionando con normalidad.
Los hackers han publicado el supuesto ataque en su página web, donde valoran los datos robados en 38 millones de dólares y dan de plazo hasta el 31 de diciembre a la Agencia para que pague ese precio para recuperar los datos.
Sin embargo, la banda esta vez parecería haber roto sus propias normas.
Especialistas en ciberseguridad explican que habitualmente Trinity encripta paquetes de datos en la web de sus víctimas y deja una nota como fondo de pantalla explicando el secuestro, que sus datos personales y bases de datos han sido extraídas y solicitando el pago del rescate con criptomonedas a cambio de dar al atacado una clave para desencriptar los archivos.
Así mismo, esta nota, señalan las mismas fuentes, incluye la url de la página web de la banda en Onion con instrucciones y una dirección de correo electrónico de contacto para negociar la recuperación.
Trinity da generalmente un plazo de 24 horas a sus víctimas para que le contacten, advirtiéndoles que si no lo hacen sus datos serán filtrados o vendidos en la “Dark web”, un mercado negro al que acceden cibercriminales que pueden usar esos datos para extorsionar a las personas que allí aparezcan.
En este caso, según portavoces de la Agencia, no hay archivos encriptados, ni tampoco nota de contacto. Por ello, algunos profesionales del sector aventuran que la web hackeada pueda ser la de otra agencia tributaria española, de alguna ciudad o comunidad autónoma, o bien de alguna institución con la que la Agencia comparte datos, como administraciones autonómicas o el Punto Neutro Judicial.
Portavoces de la AEAT, sin embargo, señalan que tampoco han encontrado indicios de actividad sospechosa en esas vías de acceso indirecto.
Según la agencia federal americana HC3, hasta octubre estaban confirmadas 7 víctimas de Trinity, dos de ellas centros hospitalarios, uno en Estados Unidos y otro en Gran Bretaña.
La banda empezó a operar en mayo, y algunos expertos en ciberdelincuencia vinculan su origen en el desmantelamiento de LockBit, una banda experta en secuestro de datos o ransomware que llegó a atacar a 2.500 empresas en 120 países hasta ser desmantelada el pasado mes de febrero en una operación de la Europol.
La Agencia Nacional contra el Crimen (NCA) de Reino Unido identificó a su líder como el ruso Dmitry Khoroshev, y en octubre la Guardia Civil informó que había detenido en el aeropuerto de Barajas al administrador del proveedor de servicios de Internet que empleaba, un ciudadano bielorruso del que no facilitó el nombre. Khoroshev sigue en busca y captura, con una recompensa de 10 millones de dólares del Departamento de Justicia de Estados Unidos a quien aporte pistas que faciliten su detención.
“Después de las desarticulaciones de sus operaciones en la Operación Cronos algunos de los miembros de LockBit continuaron sus actividades bajo diferentes identidades y variantes de ransomware”, explican expertos en ciberdelincuencia, que advierten sin embargo que “no hay evidencias claras que vinculen directamente” los dos grupos.
Ambos operan de la misma manera, que los expertos denominan como “ransomware-as-a-service (RaaS)”: venden el código malicioso que desarrollan a otros hackers, llamados “afiliados”, que luego lo utilizan para realizar sus propios ataques.
También ambos utilizan técnicas de doble extorsión: además de pedir un rescate por desencriptar los datos robados, los venden para que sean utilizados por otros ciberdelincuentes.
Si la banda realmente hubiera accedido a datos de la AEAT y este organismo no se aviniera a pagar un rescate, el acceso a datos fiscales de centenares de contribuyentes sería un gancho muy goloso para otros ciberdelincuentes especializados en campañas de “ingeniería social”: que utilicen los datos de la Agencia para contactar con los ciudadanos haciéndose pasar por ella y anunciándoles por ejemplo que les han impuesto una sanción o que necesitan su autorización para pagar el segundo plazo.
“Si una persona recibe un SMS, con peticiones de este estilo y con sus datos fiscales correctos, pidiéndole que autorice la operación en un enlace adjunto, situado en una web que imita bien la de la AEAT, es fácil que convenza a su víctima y que consiga sacarle dinero”, señala un profesional del sector.
Expertos en cibercrimen no descartan tampoco que el ataque de Trinity tenga objetivos políticos, y no solo económicos.
Tom Burt, vicepresidente de seguridad y confianza del cliente de Microsoft, advirtió recientemente que “estamos observando una tendencia hacia la combinación de las actividades de los estados y de los cibercriminales", de forma que algunos estados contratan hackers como “mercenarios cibernéticos privados” para desestabilizar políticamente a otro estados o influir en las elecciones, como han hecho Rusia, China e Irán en la elecciones de Estados Unidos.
También Enisa, la Agencia de Ciberseguridad de la UE, advirtió, en su informe anual, que “a medida que aumentan las tensiones geopolíticas y económicas, la guerra cibernética se intensifica y las campañas de espionaje, sabotaje y desinformación se convierten en herramientas clave para que algunos países manipulen los acontecimientos y obtengan una ventaja estratégica”.
Así, un ataque informático que permitiera difundir datos fiscales de dirigentes políticos, empresariales o sindicales podría encajar en los objetivos de estas redes.
En algunos casos estas bandas anuncian ataques que finalmente se demuestran falsos. El propio LockBit lo hizo en mayo, cuando aseguró que había robado 33 TB de datos de la Reserva Federal, el banco central de Estados Unidos.
Una afirmación que se demostró falsa. “Los atacantes suelen filtrar algunos de los datos obtenidos, para probar que realmente su ataque ha sido un éxito y poner más presión en la víctima. Entonces no lo hicieron. Como Trinity tampoco lo ha hecho en este caso”, señalan. La confirmación de la veracidad del ataque, por tanto, habrá de esperar hasta el 31 de diciembre.
Con información de La Vanguardia
La inteligencia artificial de Europa, Mistral AI, busca impulsar la innovación en IA dentro del continente, además de seguir y respetar la normativa europea
La nueva función de Google Meet ayuda a las personas a superar las barreras lingüísticas «casi en tiempo real», manteniendo la voz, tono y expresión de interlocutor
El ictus es una de las enfermedades de mayor impacto mundial que, sólo en España, sufren cada año 120.000 personas, de las que mueren alrededor de 25.000
La nueva función de Google Meet ayuda a las personas a superar las barreras lingüísticas «casi en tiempo real», manteniendo la voz, tono y expresión de interlocutor
Desde que se hizo cargo del Barcelona, Hansi Flick ha conseguido 43 victorias, siete empates y nueve derrotas
Según el comisario europeo de Comercio, la medida que proponen de cobrar una tasa de €2 a las compras de plataformas como Temu o Shein, no es un "impuesto" adicional, sino una tasa para "compensar" el coste que implica la gestión de la gran cantidad de paquetes por parte de las autoridades de aduanas
La gonorrea es la segunda infección de transmisión sexual bacteriana más común en el Reino Unido y afecta tanto a hombres como a mujeres
La acusación popular pide tres años de prisión tanto para David Sánchez como para el presidente de la Diputación de Badajoz y líder regional del PSOE, Miguel Ángel Gallardo
Desde este miércoles, una veintena de vigilantes de seguridad piden documentación para acceder entre las 21:00 y las 05:00 horas en puertas concretas de las Terminales 1, 2, 3 y 4 del aeropuerto de Barajas
El paquete fiscal anunciado por la ministra de Vivienda y Agenda Urbana sobre el IVA de pisos turísticos pretende cumplir con parte de los compromisos adquiridos por el Gobierno a principios de año
La inteligencia artificial de Europa, Mistral AI, busca impulsar la innovación en IA dentro del continente, además de seguir y respetar la normativa europea