¿Qué se sabe del grupo de RansomHub que hackeó a la Presidencia de la República, que asegura haber secuestrado 313 gigabytes de archivos, acerca de los cuales se publicó en la dark web una supuesta muestra con datos personales de funcionarios y que dio al gobierno 10 días para pagar una suma no revelada o los hará públicos?
Los cibercriminales indicaron que poseen datos de la Consejería Jurídica de la Presidencia de la República, como contratos gubernamentales, información de seguros y financiera.
Desde el viernes de la semana pasada circuló en redes sociales información de que este grupo hackeó a la Presidencia.
El sitio www.gob.mx “ha sido violado oficialmente”, escribió en su cuenta el analista en ciberseguridad Dominic Alvieri; mientras que la cuenta de X que publica información de un grupo de expertos de inteligencia de amenazas, llamado Threat Intelligence Analyst (Tial), alertó que los hackers habrían tenido acceso a 313 gigabytes de información.
Lee: Confirma Sheinbaum hackeo de RansomHub a la Consejería Jurídica
¿Qué es el grupo de RansomHub?
Los expertos identificaron a principios de año al grupo de ransomware RansomHub, que opera bajo el modelo Ransomware-as-a-Service (RaaS). IBM advirtió que los desarrolladores de ransomware venden códigos a otros hackers, llamados “afiliados”, que lo emplean para sus propios ataques.
Las cepas de ransomware más devastadoras, como LockBit y BlackBasta se propagan a través de las ventas de RaaS. Los hackers pueden beneficiarse de la extorsión sin desarrollar su propio malware, al tiempo que los desarrolladores de ransomware aumentan ganancias sin atacar redes, con modelos de software como servicio (SaaS).
El grupo sospechoso y su modelo “es mejor el 10% de algo que el 100% de nada”
Con RaaS, los posibles hackers tienen una entrada más rápida y fácil en el delito cibernético e incluso los actores de amenazas con experiencia técnica limitada aplican ataques cibernéticos. El grupo de RansomHub inició este año un nuevo programa de afiliados, integrando operadores del grupo criminal Scattered Spider.
Opera un exitoso modelo de reparto “es mejor el 10% de algo que el 100% de nada”, que deberían aplicar todos los negocios lícitos que quieren incrementar invenciblemente sus ingresos y ganancias, que consiste en 90-10. Así, los afiliados reciben el 90% de los pagos obtenidos por los ataques exitosos, mientras que RansomHub se queda con 10%.
La empresa A3Sec, dedicada a blindar activos digitales por medio de soluciones que generan prevención, detección y reacción, indicó además que el grupo de RansomHub trabaja contra servicios sin protección para introducirse en sus redes, extraer grandes volúmenes de datos y aplicarles técnicas avanzadas de cifrado. https://a3sec.com/alertas/grupo-ransomware-ransomhub-programa-afiliados
La doble extorsión
El grupo de RansomHub usa la doble extorsión. Esto es: el afiliado entra a la red, roba la mayor cantidad posible de datos confidenciales y luego desata una carga útil de ransomware en su salida. La víctima se enfrenta a descodificar sus sistemas para devolver el acceso y pagar a los delincuentes para que no divulguen datos confidenciales.
Asimismo, las personas de quienes tienen datos también se pueden ver obligados a pagar o enfrentar a la publicación de su información personal.
