Sitio web oficial del Gobierno de México es tomado por banda de RansomHub

Iniciado por AXCESS, Noviembre 16, 2024, 03:58:06 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Noviembre 16, 2024, 03:58:06 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El gobierno de México se ha convertido en la última víctima de un aparente ataque de ransomware, ya que la banda de cibercriminales RansomHub afirma haber violado el sitio web federal oficial del país.

La dirección del sitio web No tienes permitido ver enlaces. Registrate o Entra a tu cuenta del gobierno mexicano fue publicada en el blog de filtraciones oscuras del grupo de ransomware a primera hora de la mañana del viernes.

El cártel vinculado a Rusia afirma haber exfiltrado 313 gigabytes de información de los servidores del sitio web.

"No tienes permitido ver enlaces. Registrate o Entra a tu cuenta es la plataforma que promueve la innovación en el gobierno, impulsa la eficiencia y transforma los procesos para brindar información, procedimientos y una plataforma para la participación pública", publicó RansomHub en su sitio.

La banda ha establecido un plazo de diez días para que el gobierno de México pague una demanda de rescate no revelada antes de publicar los supuestos archivos robados, que según los delincuentes incluyen "contratos, seguros, finanzas, archivos confidenciales"

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El grupo también ha publicado un caché de más de 50 archivos de muestra que parecen ser de una base de datos de empleados federales.

La muestra de la base de datos contiene información personal de cada empleado, incluido el nombre completo del empleado, el cargo, una foto de rostro en color, en qué edificio gubernamental trabaja el empleado, su dirección de correo electrónico, la extensión de su número de teléfono y algún tipo de número de referencia de identificación.

También hay varias muestras de documentos gubernamentales firmados de 2023, uno dirigido al Director de Tecnologías de la Información y Comunicaciones del gobierno mexicano, Mario Gavina Morales, y algún tipo de contrato de transporte por un valor de unos 100.000 dólares.

El Palacio Nacional sirve como sede de las oficinas del presidente de México y del Tesoro Federal, y figura como la dirección de trabajo de muchos empleados en las muestras, aunque no está claro dónde se encuentran las redes de TI y otras agencias federales.

¿Quién es RansomHub?

RansomHub es un actor relativamente nuevo en el ecosistema del ransomware, ya que registró su primera víctima el 26 de febrero de 2024.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el FBI publicaron un aviso conjunto sobre la banda RansomHub el 30 de agosto, provocado por su ascenso acelerado como uno de los grupos de ransomware más activos en lo que va de año.

Los investigadores de inteligencia de amenazas de Searchlight Cyber dicen que RansomHub ahora está "en el tercer puesto entre los grupos de ransomware más prolíficos del primer semestre de 2024" y que el rápido ascenso de la banda sugiere "posibles conexiones con actores establecidos como BlackCat", según el informe de ransomware recién publicado por la empresa.

Un nuevo informe de principios de noviembre mostró que RansomHub se cobró casi una quinta parte de todas las víctimas de ransomware en septiembre de 2024, incluidas Kawasaki Motors Europe y Planned Parenthood of Montana, una organización multicéntrica.

Según el aviso de CISA, que proporciona una lista completa de los IOC conocidos, incluidas direcciones IP, herramientas, URL conocidas, direcciones de correo electrónico y más, se dice que los ciberdelincuentes han atacado al menos a 210 víctimas desde febrero, casi a un ritmo de una víctima por día.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las víctimas de RansomHub incluyen varias organizaciones, desde infraestructuras críticas hasta corporaciones privadas en los EE. UU., incluida la empresa de servicios petrolíferos Halliburton, supuestamente atacada por la banda a principios de agosto, así como la cadena de farmacias estadounidense Rite Aid en julio.

Conocido por operar un modelo de ransomware como servicio (RaaS) y usar tácticas de doble extorsión, el grupo se convirtió en un actor principal después de la violación masiva de Change Healthcare de UnitedHealth llevada a cabo por la banda de ransomware ALPHV/BlackCat.

RansomHub, que se cree que era uno de los principales afiliados conectados a ALPHV/BlackCat en ese momento, afirmó haber publicado una serie de archivos que supuestamente formaban parte de lo que se obtuvo durante el ataque a Change Healthcare.

"Se ha visto a sus representantes reclutando afiliados en foros de la dark web, ofreciendo una tarifa fija del 10 por ciento y la opción de cobrar los pagos del rescate directamente de las víctimas antes de pagar al grupo principal", dijeron los investigadores de SearchLight Cyber.

"Su modelo "amigable con los afiliados" también podría verse como una respuesta directa al retiro de BlackCat", señalaron los investigadores.

El grupo ruso ALPHV/BlackCat perpetró su "estafa de salida" en marzo al "tomar todo el pago del rescate [de 22 millones de dólares] de Change Healthcare sin compensar adecuadamente a la filial [de RansomHub] responsable del ataque", explicaron los investigadores.

Además, el informe técnico de Searchlight Cyber muestra que "la mayoría de las víctimas de RansomHub se encuentran en Estados Unidos", lo que respalda aún más esta conclusión.

Se ha demostrado que la configuración del grupo se parece mucho a la de una configuración tradicional de ransomware ruso, ya que la banda evita objetivos en Rusia, países de la CEI, Cuba, Corea del Norte y China, algo típico de las bandas respaldadas por el Kremlin.

Entre las víctimas de la violación de RansomHub en la primera mitad de 2024 se incluyen el fabricante de portátiles para juegos Clevo, la destacada casa de subastas Christie's y Frontier, el cuarto proveedor de Internet de alta velocidad más grande de EE. UU. que cubre 25 estados.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario