Avaddon: grupo de hackers de origen ruso secuestra información confidencial de la Lotería Nacional

La Lotería Nacional se convirtió en la última víctima de Avaddon, un grupo de piratas informáticos nacido en Rusia con un historial de más de 170 empresas infectadas. El ciberataque a la institución mexicana se produjo hace dos semanas, pero ella no lo admitió hasta el lunes. «El robo de información ha sido detectado en el área administrativa de la Lotería Nacional, antes Sports Forecasts, por parte de delincuentes que operan a nivel internacional», dice el comunicado. Entre los datos robados se encuentran documentos financieros, legales y de recursos humanos, así como contratos firmados desde 2009 hasta la actualidad. Los piratas informáticos también tienen información sobre un caso de acoso sexual dentro de la empresa.

Este tipo de ataque, llamado Secuestro de datos, es una eliminación de información, equipos y servidores; A cambio de recuperar el control, los delincuentes exigen un rescate. En este caso, los piratas informáticos chantajean a la Lotería Nacional haciendo públicos los documentos comprometidos si no pagan en los próximos cinco días. Hasta el momento, no se ha revelado el monto económico requerido, pero según un documento del Centro Australiano de Seguridad Cibernética para este tipo de ciberataque, típicamente se solicitan alrededor de 0.73 bitcoins, lo que se traduce en $ 40,000, o aproximadamente 800,000 mexicanos. pesos.

Hiram Camarillo, Director de Seguridad de la Información en Seekurity, fue el quien dio la alarma la semana pasada sobre lo que pasó con la lotería nacional. Los piratas informáticos difundieron el ciberataque en su blog, ubicado en Red profunda (esto se llama Internet profundo, al que no llegan los motores de búsqueda habituales). Han adjuntado correos electrónicos internos y capturas de pantalla de contratos, reuniones y pagos como prueba. Durante días, la institución mexicana no hizo ningún comentario. Y los delincuentes insistieron: «Al parecer la empresa no comprende la gravedad de esta situación y quiere ocultar que han sido pirateados y que les hemos robado datos de sus servidores».

“Tenemos una gran cantidad de datos confidenciales como casos de acoso sexual, incidentes desagradables y mucha suciedad asociada con su negocio. Si sigues mintiendo a todos y no nos contactas, estamos listos para sorprender a cualquiera que siga las noticias ”, amenazó Avaddon en su última actualización. Mientras el contador siga en rojo y baje: quedan cinco días y unas horas para que se filtre la información.

Camarillo asegura a EL PAÍS que Avaddon «es un grupo serio» y que no miente en sus amenazas. Registrado por primera vez en 2019, es uno de los cinco grupos de delitos cibernéticos más grandes y activos. Su lista de víctimas incluye las operaciones del Grupo AXA en Asia, Cuatro Barras en Brasil, Grupo Active y Fornesa SL, en España, el fondo Febancolombia en Colombia y empresas en Canadá y Arabia Saudí. Su origen está en Rusia ya que se han identificado herramientas en ruso y también porque no atacan a empresas ubicadas en la denominada Comunidad de Estados Independientes, que incluye a Rusia, Ucrania y Bielorrusia, explica este experto en ciberseguridad.

«Este es un incidente muy grave», dijo Atul Narula, investigador de ciberseguridad del Instituto Internacional de Ciberseguridad. Las recomendaciones para la empresa después de este ataque incluyen limpiar la red, mejorar la protección de datos y, lo más importante, descubrir cómo entró el virus. “Deben saber cómo entraron. Hoy es Avaddon, mañana puede ser otro grupo ”, explica este experto. Por el tipo de datos que se han filtrado -incluidos los minutos de varias empresas- Narula asegura que la Lotería Nacional debe informar a las empresas interesadas porque con los datos comprometidos se puede robar la identidad de una persona o empresa.

La institución mexicana aseguró que contó con la asesoría y apoyo de la Coordinación Nacional de la Estrategia Digital (CEDN) y que el sistema de sorteos y concursos no se vio afectado por el ciberataque.

El ataque comienza con un correo electrónico.

Ataques de tipo Secuestro de datos por lo general, llegan a las empresas por correo electrónico. Los empleados reciben un correo electrónico con un truco, desde amenazas fotográficas comprometidas hasta imágenes o texto atractivos, que engañan al empleado para que haga clic y descargue los archivos. Esta técnica se conoce como Suplantación de identidad (melocotón). A partir de ese momento, y en minutos, el virus se propaga e infecta equipos y servidores. A partir de ahí, cifra la información de la red y la bloquea. “A veces, aparece una nota de rescate en las computadoras que explica quiénes son y las instrucciones que debe seguir. Te dejan un login para que puedas ir a la página de grupos «, dice Camarillo,» hay grupos de Secuestro de datos ellos tienen los suyos Servicio al Cliente. Ahí empiezas a ver cuánto dinero les vas a pagar y si están abiertos a la negociación ”.

Ninguno de los expertos recomienda pagar. De hecho, el propio FBI desalienta a las empresas pirateadas a hacerlo. Por un lado, el pago del rescate sirve para fortalecer al grupo delictivo, y también porque la información ya ha sido robada y no hay garantía de que no se divulgue en otro momento.

Este ciberataque es una prueba más de la vulnerabilidad de las empresas y organizaciones mexicanas. La cultura de la ciberseguridad apesta, subraya Caramillo, quien menciona, por ejemplo, más de 16 páginas del gobierno mexicano abandonadas y atacadas por los piratas. «Hay muchas malas configuraciones, el gobierno no responde, nunca nos contacta», explica.

En 2019, el objetivo del ciberataque fue Pemex. En un ataque más grave que ahora, retiraron el 5% de los equipos, afectaron la refinería de Veracruz y Tabasco y los servidores centrales. Al año siguiente, le tocó el turno a la Comisión Nacional de Seguros y Finanzas, que robó más de 10 gigabytes de información confidencial por la que solicitó un millón de dólares. “La situación es muy mala”, resume el investigador del Instituto Internacional de Ciberseguridad, “muchas empresas mexicanas son atacadas”.

Suscríbete aquí ala boletín de EL PAÍS México y reciba todas las claves informativas de la situación actual de este país