Ataque de ransomware al Gobierno de Perú

Iniciado por AXCESS, Mayo 05, 2025, 12:15:12 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Mayo 05, 2025, 12:15:12 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Según informes, los sistemas del gobierno peruano quedaron incapacitados el viernes tras sufrir un presunto ataque de ransomware, reivindicado por la banda Rhysida. Ahora, la banda cibercriminal solicita cientos de miles de dólares de rescate para liberar los datos robados.

La banda, vinculada a Rusia, publicó el sitio web del gobierno peruano en su blog de filtraciones el jueves por la noche, lo que le dio a la municipalidad del país tan solo 6 días (9 de mayo) para pagar una demanda de rescate no revelada.

Sin embargo, según investigadores de seguridad de Comparatech, las autoridades peruanas niegan que se haya producido un ataque de ransomware. "Se reportaron fallos en el sitio web del gobierno, pero el gobierno ha afirmado que no hay evidencia de un #ciberataque", informó Comparatech en X la madrugada del viernes.

Sitio web del Gobierno del Perú se encuentra caído


Cybernews puede confirmar que el sitio web del gobierno peruano, Gob[.]pe, no cargaba el viernes, aunque en un comunicado oficial visto por la firma de inteligencia de amenazas Venerix, el gobierno peruano indicó que su sitio web oficial se encuentra actualmente en mantenimiento.

La compañía de inteligencia también afirmó en X que ha verificado el 22% de las afirmaciones de Rhysida hasta la fecha. El resto permanece sin confirmar, no refutado.

Comunicado del gobierno de Perú negando ciberataque


Con una población de más de 33 millones, el sitio web oficial del gobierno de la República del Perú figura como la "plataforma digital única del estado", que contiene información sobre trámites, servicios, regulaciones y más, según la descripción del sitio. También gestiona el Registro Nacional de Identificación, incluyendo el registro de pasaportes, el registro de contribuyentes, los registros de seguros de salud, los registros policiales, los registros laborales y más.

Rhysida, un experimentado grupo de ransomware conocido por sus tácticas de doble extorsión, ofrece vender los datos que presuntamente exfiltró de las redes gubernamentales por 5 bitcoins (BTC), equivalentes a aproximadamente 488.000 dólares estadounidenses. El actor de amenazas no ha revelado la cantidad de datos sustraídos en el robo.

"Con solo 7 días de plazo, aprovechen la oportunidad de pujar por datos exclusivos, únicos e impresionantes. Abran sus billeteras y prepárense para comprar datos exclusivos", escribió la banda con su estilo habitual.

"Vendemos solo a una mano, no revendemos, ¡usted será el único propietario!", decía.



Cybernews también puede confirmar que una serie de archivos de muestra, supuestamente provenientes del caché robado, se publicó en el sitio web de Rhysida.

Casi todos los archivos de muestra son ilegibles; uno de ellos, examinado, parece ser un documento administrativo con sello oficial y fechado en junio de 2023.



Este no es el primer ataque de ransomware dirigido a un gobierno latinoamericano. El gobierno de México fue víctima de un presunto ciberataque perpetrado por la banda de cibercriminales RansomHub en noviembre pasado, que dejó fuera de servicio su sitio web oficial y se apoderó de más de 300 GB de datos.

Rhysida ya ha atacado anteriormente

El grupo Rhysida, afiliado a Rusia, ha registrado más de 182 víctimas en su blog desde su creación en mayo de 2023.

La banda es conocida por perseguir objetivos de oportunidad y se ha infiltrado en diversos sectores, como la educación, la salud, la manufactura y los gobiernos locales, según un perfil actualizado del Departamento de Defensa de EE. UU. sobre la banda, publicado en noviembre pasado.

De igual manera, en enero, el grupo afirmó haberse infiltrado en los servidores de Montreal-Nord, en la provincia de Quebec, solicitando al municipio canadiense el pago de un rescate de 1 millón de dólares (10 BTC). Y, en julio pasado, Rhysida atacó con éxito la ciudad de Columbus, Ohio, provocando interrupciones de los servicios municipales que duraron semanas y la reconstrucción de su sitio web oficial.

En el último trimestre de 2024, Rhysida también fue noticia al atacar (y provocar) al Aeropuerto Internacional de Seattle-Tacoma con una exigencia de rescate de 100 BTC tras un ataque que causó una interrupción del sistema durante semanas en el concurrido centro de la Costa Oeste. La brecha de Sea-Tac incluso obligó a algunas aerolíneas importantes, como Delta, Singapore y Alaska Airlines, a escribir a mano las tarjetas de embarque de los pasajeros.

En octubre de ese año, Rhysida también se atribuyó un ataque a Easterseals, una organización benéfica dedicada a ayudar a las personas con discapacidad, junto con una etiqueta de rescate de 1.350.000 dólares (20 BTC).

Un perfil de Trend Micro de febrero de 2024 sobre el grupo reveló que los actores de amenazas a menudo obtienen acceso inicial a sus víctimas mediante ataques de phishing y, en el pasado, se han "presentado como un equipo de ciberseguridad que ofrecía ayuda a sus víctimas para identificar vulnerabilidades de seguridad en sus redes y sistemas", según los investigadores.

Una vez dentro de una red, se sabe que el grupo busca vulnerabilidades del sistema utilizando las herramientas de pentesting Cobalt Strike, lanzando su ransomware homónimo para cifrar el sistema de la víctima.

El grupo de ransomware Vice Society ha sido vinculado a Rhysida mediante tácticas, técnicas y procedimientos (TTP) similares y utilizando el ransomware de Rhysida como afiliado, supuestamente compartiendo una parte de sus ganancias con la banda.

Otras víctimas anteriores incluyen el Washington Times, la Biblioteca Nacional Británica del Reino Unido, el Hospital Infantil Anne & Robert H. Lurie de Chicago y la red estadounidense de hospitales y centros de salud Prospect Medical Group.

En febrero pasado, un equipo de investigación de la Agencia de Internet y Seguridad de Corea (KISA) logró descifrar el código de cifrado de la banda y compartió una herramienta de descifrado de Rhysida gratuita y un manual en su sitio web.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario