Este lunes 6 de mayo, el grupo de ransomware LockBit, conocido por secuestrar información, cifrarla y extorsionar a las víctimas exigiendo cantidades multimillonarias como rescate por sus datos, anunció que el sitio oficial del gobierno de Yucatán se encuentra entre su lista de entidades atacadas.
Si bien los ciberatacantes no detallan qué información poseen, destacan, basándose en datos del propio sitio, que la página almacena información de la cuenta pública, el diario oficial y los pagos en línea. Esto representa un riesgo significativo, ya que existe la posibilidad de que se vea comprometida información fiscal y bancaria de todos los usuarios que han accedido a dicha página.
El sitio de LockBit, ubicado en la deep web, incorporó un contador en el que otorga 14 días al gobierno de Yucatán previo a liberar la información que presume poseer. Esto coincide con la práctica común de otros grupos de ransomware, donde este lapso suele ser el tiempo otorgado a las víctimas para efectuar un pago específico, usualmente en bitcoins, con el fin de recuperar sus datos.
De lo contrario, suelen filtrar la información en Internet de manera gratuita, haciéndola accesible para cualquier persona con acceso a la deep web. Esta información podría ser utilizada con fines delictivos, como ataques de phishing o suplantación de identidad.
¿Es una amenaza real?
Aunque algunos expertos en ciberseguridad sugieren que este evento podría ser solo la republicación de un ataque previo que afectó al gobierno de Yucatán en abril de 2023, otros plantean la posibilidad de que se trate de un nuevo ataque o incluso una amenaza de filtración de los datos secuestrados, lo que pondría en riesgo la privacidad de miles de habitantes del estado.
LockBit es investigado en el mundo
La amenaza ocurre en el contexto de una serie de investigaciones lideradas por el FBI y la NCA del Reino Unido, bajo el nombre de Operación Cronos, la cual ha resultado en varios golpes contra el grupo de ransomware —de origen aparentemente ruso— como la incautación de la infraestructura de LockBit, que incluyó la confiscación de servidores y la obtención de claves de descifrado.
Además, se espera que mañana, 7 de mayo, estas agencias —que posibilitaron que algunas víctimas recuperaran sus archivos sin pagar el rescate exigido— divulguen nueva información sobre el grupo de ransomware LockBit. Por lo tanto, esta reciente publicación podría ser vista como una represalia ante las investigaciones en su contra.
¿Es un nuevo ataque o una vieja amenaza?
Para obtener mayores datos sobre lo que hay detrás de la reciente publicación de LockBit, Publimetro México buscó a Víctor Ruiz, socio de la empresa de ciberseguridad Silikn, quien recordó que el primer ataque al gobierno de Yucatán (abril de 2023) fue perpetrado por un grupo conocido como ALPHV/Blackcat y, dado que el FBI también intervino y desmanteló el sitio de estos ciberdelincuentes, se desconoce si las autoridades accedieron a pagar el rescate por su información.
Asimismo, Ruiz resaltó que no hay antecedente de que LockBit haya dirigido un ataque previo contra el gobierno de Yucatán, por lo que planteó dos hipótesis: que, tras la intervención del FBI contra el grupo durante la Operación Cronos, se haya llevado a cabo el ataque al gobierno de Yucatán y apenas se haya dado a conocer o que este sea un ataque completamente nuevo por parte de LockBit.
La primera hipótesis toma relevancia dado que, según el especialista, ALPHV y LockBit solían intercambiar información. Por lo tanto, el ataque podría haber ocurrido con datos provenientes de dicho intercambio entre ambos grupos de ransomware.
“Lo que es cierto es que este es el segundo ataque de ransomware documentado contra el gobierno de Yucatán, por lo que al parecer no han implementado las medidas de seguridad adecuadas”
— Socio fundador de Silikn
LockBit, una amenaza seria para México
El socio de Silikn también reveló que desde 2019 LockBit ha estado operando activamente en México, consolidándose como uno de los grupos más activos en el país. En este sentido, destacó la importancia de que tanto las organizaciones como las dependencias gubernamentales implementen medidas preventivas adecuadas.
Por otro lado, el analista en ciberseguridad Nicolás Azuara subrayó que el accionar de LockBit parece ser una reacción desesperada ante el anuncio realizado por las agencias gubernamentales en la Operación Cronos, quienes podrían dar mayor información sobre el grupo delincuencial este 7 de mayo: “Es una amenaza (por parte de LockBit). Anteriormente, las agencias gubernamentales ofrecieron una recompensa de hasta USD $15 millones por información sobre los involucrados”.
Mañana la Operación Cronos dará a conocer nueva información sobre el grupo de ransomware LockBit.
— Nico Tech Tips (@NicoTechTips) May 6, 2024
En represalia, dicho grupo cibercriminal publicó cerca de 40 víctimas en su portal web, la mayoría divulgados con anterioridad. https://t.co/As6londRRj
Además, Azuara contextualizó que dentro del marco de la Operación Cronos, se tomó el control del antiguo portal web de LockBit.
“Este portal ha estado exhibiendo información sobre LockBit con un tono sumamente informal, casi burlándose del grupo, presumiblemente con la intención de inducirlos a cometer otro error. Supongo con la intención de que cometan otro error”
— Nicolás Azuara, analista de ciberseguridad
