El FBI y otras agencias federales emitieron un aviso conjunto sobre un servicio y sitio web de ransomware que atacó a 210 organizaciones en los últimos meses.
En un boletín conjunto publicado el 29 de agosto, el FBI, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y el Departamento de Salud y Servicios Humanos afirmaron que una banda de ransomware llamada RansomHub ha estado detrás de al menos 210 ciberataques con éxito desde febrero, dirigidos a sectores industriales relacionados con el agua, las aguas residuales, la tecnología de la información, la atención sanitaria y los servicios gubernamentales, entre otros.
El grupo utiliza lo que las agencias llaman un «modelo de doble extorsión mediante el cifrado de sistemas y la exfiltración de datos» para extraer el pago de un rescate de sus víctimas, dice el boletín.
En lugar de enviar a las víctimas una nota con una petición de rescate o instrucciones de pago, RansomHub pide a las víctimas que se pongan en contacto con ellos a través de una URL única de la web oscura, según el boletín.
A continuación, se indica a las víctimas que paguen el rescate entre tres y 90 días después del ciberataque. Si no cumplen, los datos se publican en el sitio web de filtraciones de RansomHub, accesible a través de Tor, según las agencias.
El FBI aconsejó a todas las organizaciones que se tomen muy en serio la amenaza del ataque RansomHub. Las agencias dijeron que los administradores de red deberían adoptar sus «mitigaciones recomendadas» instalando actualizaciones de sistemas operativos, firmware y software lo antes posible. También deben tratar de reconocer y denunciar los intentos de suplantación de identidad, así como exigir una autenticación multifactor resistente a la suplantación de identidad, añade el boletín.
«RansomHub es una variante de ransomware-as-a-service, antes conocida como Cyclops y Knight, que recientemente ha atraído a afiliados de alto perfil de otras variantes prominentes como LockBit y ALPHV», dijo la agencia.
Según una revisión de Epoch Times del sitio web oscuro de RansomHub, el grupo se atribuye la responsabilidad de la violación de los sistemas de Frontier Communications, Rite Aid, el Departamento de Salud de Florida, Spandex, la casa de subastas Christie’s, la empresa de armas Rainier Arms, la cooperativa de crédito sin ánimo de lucro Patelco Credit Union, una empresa de distribución de aguas subterráneas llamada Headwater Companies, el sitio web del distrito escolar de Bedford City, en Ohio, y otros.
Fuera de Estados Unidos, el grupo también atacó la secretaría general del consejo del servicio militar de Arabia Saudita, el sitio web de un departamento de policía polaco y la división de Coca-Cola en Myanmar, entre muchos otros.
En el sitio, las URL de las distintas organizaciones aparecen con una cuenta atrás que indica cuándo se publicarán los datos, a menos que las víctimas paguen. Los sitios web que aparentemente no cumplan aparecerán en la lista con la palabra «PUBLICADO» debajo.
«Los miembros de nuestro equipo proceden de distintos países y no nos interesa nada más, solo nos interesan los dólares», afirma el grupo, añadiendo que no ataca a Cuba, Corea del Norte y China, sin explicar por qué.
A principios de este año, Frontier Communications, una importante empresa de telecomunicaciones estadounidense, declaró que había sido pirateada y se había visto obligada a cerrar algunos de sus sistemas.
«Como parte de este proceso, las medidas de contención, que incluían el cierre de algunos de los sistemas de la empresa, dieron lugar a una interrupción operativa que podría considerarse material», dijo Frontier en su presentación.
Halliburton confirmó una vulneración de la ciberseguridad en una presentación ante la Comisión del Mercado de Valores de Estados Unidos en agosto, pero proporcionó pocos detalles y no dijo que RansomHub estuviera implicada.
«Los esfuerzos de respuesta de la compañía incluyeron la desconexión proactiva de ciertos sistemas para ayudar a protegerlos y notificar a las fuerzas de seguridad. La investigación y la respuesta en curso de la empresa incluyen la restauración de sus sistemas y la evaluación de la materialidad», dijo Halliburton.
Únase a nuestro canal de Telegram para recibir las últimas
noticias al instante haciendo click aquí
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.
