El grupo Rhysida habría logrado comprometer los sistemas de una firma chaqueña a través de un ataque del tipo “ransomware”, que consiste en el secuestro -mediante encriptación- de todos los datos y documentos almacenados en la red infectada.
Como es habitual en este tipo de incidentes, la propia organización cibercriminal se encargó de anunciar el “golpe” y hacer públicas sus demandas en foros de la Deep Web (internet profunda), metodología habitual. El anuncio brinda una breve descripción de las actividades de la empresa, incluyendo su logo, e incluye imágenes a modo “preview” desenfocadas como supuesta prueba de la documentación comprometida que, en ese caso, constaría de archivos financieros, datos personales (DNI) y tarjetas de crédito. Para “devolver” a la empresa el control de la documentación, Rhysida pide nada menos que 5 Bitcoins, cifra que hoy ronda los 290.000 dólares. Asimismo, activó una “cuenta regresiva” que vence el 8 de mayo como fecha límite con la amenaza de vender a terceros la documentación o, directamente, liberarla en la Deep Web para que quede accesible a cualquiera.
NORTE se comunicó con representantes de la empresa, aunque sin obtener respuestas, por lo que se resguarda la identidad de la misma en el marco de las dificultades que supone el proceso interno para solucionar este tipo de situaciones.
No es la primera vez que ocurre en el Chaco
Lo cierto es que los ataques ransomware son una modalidad ciberdelictiva cada vez más frecuente y en nuestra provincia ya han afectado a otras empresas e, incluso, importantes ámbitos del Estado. El caso más resonante fue el de enero de 2022, cuando fueron infectados los sistemas de Poder Judicial del Chaco.
Dicho ataque había sido autoría de la organización Hive Ransomware y había afectado las bases de datos y la infraestructura tecnológica, generando importantes perjuicios en el servicio de justicia que se fueron subsanando con el correr de algunos meses a partir de servicios de empresas especializadas contratadas a tal fin.
A nivel nacional se han conocido ataques de estas características contra las bases de datos del Renaper, dejando expuesta la documentación personal de millones de argentinos, PAMI, e incluso del Congreso, entre otros.
Una modalidad creciente
El ransomware es un software malicioso cuyo nombre se le colocó por la palabra Ransom que significa rescate. Su objetivo es secuestrar datos y pedir rescate por ellos. En un informe elaborado el año pasado, ESET, compañía líder en detección proactiva de amenazas, reportó que Rhysida es un grupo que emergió a fines de mayo 2023 y que desde su origen tuvo predilección por objetivos en Latinoamérica: su primer ataque de alto perfil fue contra entidades públicas de Chile, pero también actuó contra empresas y organismos en Estados Unidos y Europa.
Uno de los métodos de dispersión de este software malicioso es el envío de correos electrónicos falsos que simulan ser una fuente confiable, y, frecuentemente, contienen archivos adjuntos o enlaces que, al abrirlos o hacer clic en ellos, descargan el ransonware en el sistema de la víctima. Una metodología conocida como phishing.
Otra forma de ataque es mediante la explotación de vulnerabilidades del sistema, por ejemplo, un software desactualizado, o configuraciones de red inseguras. Los atacantes encuentran estos flancos débiles y pueden usarlos para ingresar a los sistemas de las víctimas, y más aún utilizar herramientas automatizadas que escanean la red en busca de más vulnerabilidades.
Las contraseñas débiles pueden ser usadas también como acceso a los sistemas.
Este grupo ransomware cuenta con un sitio en la Deep Web donde publican los nombres de las víctimas y la información robada en caso de que las víctimas no paguen el rescate.