Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Un grupo de ransomware amenaza a los usuarios finales como si fuera el Salvaje Oeste
Stephan Venter
1 de junio de 2023 - Evangelista tecnológico
Los autores de ransomware no dejan de idear estrategias innovadoras para coaccionar a sus víctimas y obligarlas a cumplir sus exigencias. Pero, en la mayoría de los casos, las amenazas se dirigen a quienes pueden pagar: la alta dirección de la organización, o incluso sus accionistas.
Los usuarios finales, las personas que utilizan las TI de la organización a diario, no suelen entrar en la línea de fuego. Sin embargo, en mayo de 2023, fuimos testigos de la primera vez que un grupo de ransomware utilizó un sistema de transmisión de emergencia para amenazar directamente a los usuarios finales, con el objetivo de conseguir que la organización objetivo pagara.
Realmente se está convirtiendo en el salvaje oeste ahí fuera, y no ayuda que algunas víctimas sean tan torpes a la hora de responder a un ataque de ransomware. Veamos lo que ocurrió hace un par de semanas en la Universidad de Bluefield.
Ataque a una institución educativa
El 30 de abril, los administradores de sistemas descubrieron que un grupo de ransomware llamado Avos se había infiltrado en la Bluefield University, una universidad privada de Virginia que acoge a unos 900 estudiantes.
La infección por ransomware comenzó a finales de abril y fue lo bastante grave como para que la universidad aplazara temporalmente todos los exámenes. La universidad afirmó entonces que los culpables no habían realizado fraude financiero ni usurpación de identidad. La Universidad de Bluefield anunció el ataque de la siguiente manera:
"Como saben, el domingo 30 de abril de 2023, la Universidad de Bluefield descubrió un ataque de ciberseguridad que afectó a nuestros sistemas. Al enterarnos de este problema, inmediatamente contratamos a expertos independientes en ciberseguridad de terceros para que nos ayudaran en nuestros esfuerzos de revisión y remediación... hasta ahora, no tenemos evidencia que indique que alguna información involucrada haya sido utilizada para fraude financiero o robo de identidad."
¿Quién es Avos? Bueno, la Oficina Federal de Investigaciones (FBI) identifica a Avos o (AvosLocker) como un grupo basado en afiliados que proporciona ransomware como servicio, y como un grupo que se dirigió específicamente a varios sectores de infraestructuras críticas dentro de los Estados Unidos. Estos sectores incluyen, entre otros, los servicios financieros, la fabricación crítica y las instalaciones gubernamentales.
Amenaza a los usuarios finales
Presumiblemente, Avos no consiguió lo que quería lo suficientemente rápido, porque el grupo dio un paso más. En la mayoría de los casos, los autores de las amenazas tienden a comunicarse con las personas con poder en una organización, es decir, las personas que pueden pagar la demanda de un ransomware. En este caso, Avos -por la razón que fuera- decidió amenazar directamente a los estudiantes de la universidad, a través del sistema de notificación de emergencias de la universidad.
A principios de mayo, justo antes del mediodía de un lunes, el grupo de ransomware envió un mensaje a todos los estudiantes de la universidad a través del servicio de mensajería de emergencia RamAlert de la universidad, que envía mensajes críticos por SMS. El mensaje decía:
"Somos el ransomware Avoslocker. Hackeamos la red de la universidad para exfiltrar 1,2 TB de archivos. Tenemos datos de admisión de miles de estudiantes. Su información personal está en riesgo de ser filtrada en el blog de la dark web. No permitas que la universidad mienta sobre la gravedad del ataque".
Avos pudieron hacerlo porque el sistema RamAlert era uno de los muchos sistemas de la Universidad de Bluefield de los que consiguieron apoderarse.
Es un movimiento audaz por parte del grupo de ransomware y presumiblemente se hizo para presionar más a los administradores de la universidad para que pagaran. Es difícil saber cómo se sintieron los estudiantes, pero no debe haber sido una buena sensación ser informado de una manera tan visceral de que tus datos personales están en riesgo de ser expuestos.
¿Una víctima desventurada?
Mientras Avos se comunicaba directamente con los estudiantes, la comunicación de la universidad con ellos fue, como mínimo, algo deficiente. Al principio, la universidad dijo que no veía indicios de que se hubiera producido ningún "robo de identidad", pero nunca advirtió a los estudiantes de que existía un riesgo muy real de que eso ocurriera.
El 13 de marzo aparecieron informes que sugieren que, como era de esperar, el robo de identidad es un problema en este caso. Según los informes de DataBreaches.netla universidad no alertó a sus estudiantes de la vulnerabilidad de su sistema, lo que permitió a los ciberdelincuentes acceder a los archivos y hacerse con ellos.
DataBreaches.net recibió un mensaje del grupo de piratas informáticos que contenía los datos personales de un solicitante de una beca de matrícula. Justo el día anterior, el estudiante en cuestión rellenó una solicitud de beca de asistencia para la matrícula en Virginia que contenía su número de la Seguridad Social completo, su fecha de nacimiento y otros datos personales, y Avos entregó todos los detalles.
Es difícil saber si los informes de DataBreaches.net son exactos o no, pero la situación recuerda a la divulgación gratuita de datos personales en la filtración del sistema escolar público de Minneapolis en marzo. En ese caso, los piratas informáticos publicaron datos personales, incluidos cumpleaños, números de la seguridad social y, lo que es peor... filtrando la información sensible de cientos de niños con necesidades especiales que asistían a la escuela.
Una y otra vez
Este incidente forma parte de una tendencia más amplia de ataques de ransomware dirigidos a escuelas, empresas y organismos gubernamentales de todo Estados Unidos. Los hackers de ransomware suelen utilizar varios métodos para coaccionar a sus víctimas, como cifrar los archivos informáticos, publicar la información robada en sus sitios web y promocionar sus delitos. Sin embargo, esta parece ser la primera vez que se utiliza un sistema de alerta de emergencia para presionar a una víctima.
El grupo de hackers responsable de este ataque es principalmente de habla rusa, según información encontrada en foros clandestinos. Este tipo de grupos suelen ser difíciles de contactar directamente para las fuerzas de seguridad estadounidenses.
Este incidente ilustra dos cosas: sí, proteja su sistema contra el ransomware de todas las formas posibles. Pero incluso si usted tiene una postura de ciberseguridad de clase mundial, los hackers todavía pueden entrar. Lo que haga a continuación es realmente importante.
¿Le preocupa un ataque de ransomware o ya ha sido víctima de él? Lea nuestra guía sobre cómo reaccionar ante el ransomware para ver cómo su organización puede responder con confianza y comunicar claramente cuando se produce un ataque de ransomware.
