A dos días de que venciera el segundo plazo que los cibersecuestradores habían dado a la Lotería Nacional (Lotenal) para negociar el rescate de su información, el grupo que extorsionaba a la institución paró sus operaciones.
Los ciberatacantes del grupo Avaddon, quien el 28 de mayo anunció que tenía en su poder información de Lotenal, publicó en su blog el viernes pasado que cerraba sus operaciones y entregó los softwares necesarios a sus víctimas para que éstas recuperaran su información.
"Deben descargar la herramienta que hicieron pública el día que (Avaddon) anunció que cerraba sus operaciones. Una vez que descarguen la herramieta es empezar a correrla y hacer pruebas para ver que realmente pueden recuperar su información.
"Una cosa es que estas personas hayan cerrado su operación y otra cosa es que al final de cuentas siguen teniendo la información de Lotenal y que la pueden vender a alguien más", dijo Hiram A. Camarillo, cofundador y director de Seguridad de la Información de Seekurity en entrevista.
Tres días antes de entregar las llaves para recuperar la información, los atacantes hicieron públicos casi tres gigabytes (GB) de supuesta información de la Lotería, luego de que el 6 de junio terminara el plazo original de 240 horas que los ciberatacantes dieron a Lotenal para contactarlos.
Al menos ocho archivos .sql, que se pueden utilizar para eliminar, insertar, extraer y actualizar datos e información, 15 respaldos de correos electrónicos y más de 30 carpetas con más documentos al interior fueron filtrados.
Asimismo, 873 archivos fueron revelados el 8 de junio pasado, fecha en la que los atacantes dieron 192 horas adicionales para una nueva negociación, mencionó Camarillo.
Pese a que Avaddon entregó las llaves de cifrado, una persona dijo tener en su poder los 3 GB de información filtrada de Lotenal y los colocó en un sitio de la web normal, abundó el cofundador de Seekurity.
De acuerdo con el director de Seguridad de la Información, los grupos de atacantes como Avaddon desaparecen cuando cobran protagonismo y empiezan a incrementar las posibilidades de ser investigados y atrapados.
Sin embargo, pueden resurgir con nuevos nombres y herramientas de ataque a las que usualmente incorporan parte de las herramientas anteriores.
"Muchos grupos hacen esto, mientras están trabajando atraen la atención de muchas autoridades nacionales o internacionales. Ellos lo que prefieren es dar de baja el nombre del grupo", agregó Camarillo.
La ola de ataques y cibersecuestros en el sector público y privado no van a parar, de hecho el 13 de junio el grupo de ransomware LV anunció que tienen en su poder, supuestamente, 300GB de información del Grupo Diagnóstico Aries como documentos financieros, bancarios y bases de clientes, señaló el director.
Grupo Aries es dueño de Laboratorios Azteca, Olab y Jenner, entre otros.