¿Qué sabemos de RansomHub, los ciberdelincuentes que ‘hackearon’ al Gobierno de México y a la UNAM?

La Consejería Jurídica de la Presidencia (CJEF) en el gobierno de Claudia Sheinbaum es la nueva víctima del grupo de hackers informáticos RansomHub, que este lunes liberó en la Dark Web 210 Gigabytes de información confidencial del gobierno mexicano, tal y como había amenazado en días anteriores.

Los documentos van desde registros financieros y archivos confidenciales hasta información personal de empleados y de la estructura interna de la red gubernamental, los cuales incluyen fotografías, nombres completos y correos electrónicos.

Se cree que dicha información ha sido visualizada por alrededor de 5 mil personas, lo que aumenta el riesgo de que sea utilizada por otros ciberdelincuentes.

RansomHub había puesto como plazo el 25 de noviembre para que la dependencia pagara un monto a cambio de no divulgar la información. El grupo, dedicado al secuestro de datos, había hecho público un contrato relacionado con el alquiler de inmuebles utilizados por la CJEF como prueba de sus acciones.

Cabe recordar que RansomHub ya ha perpetrado al menos dos ataques más contra objetivos mexicanos: el Grupo Aeroportuario del Centro Norte (OMA) y la Universidad Nacional Autónoma de México (UNAM), con los que cumplió su amenaza de filtrar y vender la información obtenida.

¿Qué es RamsonHub y cómo opera?

Esta organización vinculada con Rusia es conocida mundialmente por sus ataques con ‘malware’ contra entidades estratégicas con el fin de vender información robada si no se paga un rescate.

“Su modelo de negocios permite que los atacantes directos conserven el 90 por ciento de los pagos de rescate, al tiempo que los coordinadores centrales conservan el 10 por ciento restante.”, destaca la agencia rusa RT.

No obstante, los miembros de este grupo se rigen bajo ciertas reglas: tienen prohibido atacar hospitales sin fines de lucro y entidades de países como China, Corea del Norte y Cuba. Por el contrario, centran sus esfuerzos en organizaciones y compañías con alto poder adquisitivo, de ahí que sus ataques sean principalmente contra gobiernos y grandes corporaciones.

De acuerdo con expertos en ciberseguridad, RamsonHub “posee un innovador sistema de cifrado remoto, con el que es posible cifrar los datos desde fuera de los sistemas objetivo, lo que dificulta su detección”, según apunta el sitio especializado IT Digital Security.

Suelen publicar fragmentos de los datos secuestrados y, si el pago nunca se realiza, filtran la información confidencial capturada en la Deep Web.

Hackeo a Consejería Jurídica fue facilitado por exfuncionarios

Víctor Ruiz, CEO de la empresa de ciberseguridad Silikn, advirtió en entrevista para El Financiero que existe la posibilidad de que el ataque haya sido facilitado por empleados o exempleados del gobierno federal, hecho que, dijo, podría ser consecuencia de la falta de medidas y controles de ciberseguridad tras el cambio de administración.

“Se ha planteado la posibilidad de que un empleado, o incluso un excolaborador, pudo haber vendido tanto credenciales de acceso al sistema de la Consejería Jurídica de la Presidencia. Este tipo de situación no resulta inesperada, ya que se ha advertido sobre el riesgo que representa el cambio de administración”, detalló el CEO de Silikn.

En el mismo sentido se pronunció el director de la empresa de ciberseguridad Nekt Group, Manuel Rivera, quien sostuvo que un “socio local” pudo proporcionar las credenciales y contraseñas a los hackers de RamsonHub.

“Alguien dentro de la Consejería, de una forma negligente o intencional, permitió la entrada, se ha robado información presumiblemente muy sensible y se está vendiendo el mejor postor en el mercado negro porque RansomHub subasta la información que tiene”, indicó Rivera en entrevista para Aristegui en Vivo.

Alertan por ola de ciberataques a otras dependencias

Ruiz también dijo que es posible que “los atacantes dispongan ya de una comprensión profunda de la organización interna de la red gubernamental, lo que abre la puerta a nuevos ataques cibernéticos, tanto contra esta institución como contra otras agencias gubernamentales vinculadas al mismo sistema”.

Verónica Becerra, integrante del Consejo de Seguridad de Información y Ciberseguridad (Consejociac), advirtió que próximamente los datos podrían circular en foros especializados de ciberdelincuencia o incluso ser compartidos en grupos cifrados de Telegram.

“Con este hackeo podría empezar una ola de ciberataques hacia otras dependencias federales, sobre todo porque se menciona que hay archivos con credenciales de acceso, entonces no sabemos el nivel de acceso y hasta donde se podría llegar”, añadió la especialista.

Denuncian a RamsonHub ante la FGR

Luego del hackeo al Gobierno de México, la Consejería Jurídica presentó una denuncia ante la Fiscalía General de la República (FGR) por el acceso de manera ilícita a sistemas y equipos de informática.

“La Consejería Jurídica del Ejecutivo Federal (CJEF) informa que, tras identificar un incidente de seguridad en uno de sus servidores, la Consejería Adjunta de Control Constitucional y de lo Contencioso presentó una denuncia ante la Fiscalía General de la República (FGR) por posibles actos constitutivos de delito por acceso ilícito a sistemas y equipos de informática del Estado, previsto en el artículo 211 bis 2, del Código Penal Federal.

“Como parte de la contención y corrección se realizaron las actualizaciones correspondientes de protección de vulnerabilidades, se creó un nuevo servidor de correo con versiones actualizadas de sistema operativo y de antivirus", señaló la dependencia en un comunicado.

Con información de Christopher Calderón.