Un grupo de hackers conocido como Avaddon, dedicados a la extorsión a través de ransomware, secuestró información sensible, relacionada con finanzas y convenios de la Lotería Nacional (Lotenal), por la que exigen un rescate económico a cambio de un código de seguridad.
Hasta el momento no se ha dado a conocer el monto que el grupo criminal exige a la Lotería Nacional para liberarle del ataque. Advirtieron que, como una forma para hacer presión, de no ser atendidas sus demandas lanzarán un ataque DDoS (o ataques por denegación de servicio distribuidos) contra el sitio de la institución pública.
De acuerdo con la información dada a conocer por Hiram Camarillo, cofundador y director de Seguridad de la Información en la firma de ciberseguridad Seekurity, que originalmente fue difundida en la deep web por los propios hackers, Avaddon dio a la Lotenal un plazo de 240 horas, es decir, diez días que empezaron a correr desde la noche del jueves para que paguen el rescate o se atengan a las consecuencias.
“El rescate depende de cuántas computadoras hayan cifrado, qué tanta información les hayan extraído y qué estudio les hayan hecho (…) así como está la situación, y lo que he visto, que ha sucedido no van a realizar el pago, van a decir que tuvieron afectaciones pequeñas”, dijo al respecto Camarillo en entrevista con MILENIO.
Por su parte, luego de darse a conocer la noticia la Lotería Nacional no negó ni confirmó el ataque, en un comunicado se limitó a informar que. de acuerdo con el fortalecimiento de los mecanismos de control y como parte del proceso de actualización de los sistemas informáticos de la institución, se ha implementado un plan de renovación y depuración, lo que ha generado intermitencia en los servicios de las áreas administrativas y operativas.
“Cabe destacar que nuestro soporte tecnológico para la realización de sorteos y concursos se encuentra operando normalmente, los cuales siguen transmitiéndose en vivo, por lo que, la consulta de premios, mascarillas de resultados, así como de la información general de nuestros concursos y sorteos pueden ser consultados en nuestros canales de información y a través de nuestras redes sociales”, subrayó la institución.
A unas horas de conocerse la amenaza Hiram Camarillo y el medio especializado Bleeping Computer encontraron que el sitio de la Lotería Nacional está bloqueando las direcciones IP extranjeras, en lo que parece ser un intento de controlar el ataque DDoS.
Un ataque DDoS busca inhabilitar un servidor, un servicio o una infraestructura. Una forma de realizar este ataque es saturar el ancho de banda del servidor para dejarlo inaccesible, o por agotamiento de los recursos del sistema de la máquina, impidiendo así que esta responda al tráfico legítimo. Es decir, saturarlo.
“Para una comprensión general, tenemos datos como todos los contratos y acuerdos de 2009 a 2021, documentos legales, correspondencia, finanzas, datos notariales, subcontratación y mucho más”, advirtió Avaddon tras anunciar la identidad de su nueva víctima.
Como una muestra de que en realidad están posesión de información sensible al hacer el anuncio, también publicaron más de 10 documentos internos con información de pagos, pólizas, relación de contratos y pedidos, según lo reportado por Camarillo.
Además, Avaddon señaló que Pronósticos para la Asistencia Pública, que recientemente se fusionó a Lotenal vía un decreto, para crear un organismo público descentralizado único, no quiere colaborar con ellos. “Si esto no sucede antes de que expire el contador de tiempo, filtraremos valiosos documentos de la empresa”, agregó el grupo criminal.
Avaddon es un grupo criminal internacional que, valiéndose de sus conocimientos en ransomware, término que está compuesto por las palabras en inglés ransom (rescate) y software, se dedica a buscar debilidades en sistemas y dispositivos de empresas y gobiernos que pueda explotar comercialmente, a través de la extorsión.
Se anuncia como un RaaS (Ransomware-as-a-Service) en foros subterráneos. El malware que utilizan se infiltra en sus víctimas principalmente a través de phishing y correos electrónicos maliciosos.
Hasta ahora no se conoce el origen del grupo, ni si persigue algún tipo de motivación política o social. Pero el FBI (Buró Federal de Investigaciones, en inglés) ha dado cuenta de su existencia y advertido de su peligrosidad.
No es la primera vez que una institución pública mexicana sufre un ataque cibernético en tiempos recientes. Desde 2019, la lista de víctimas incluye a Pemex, la secretaría de Economía (SE), la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef), el Banco de México (Banxico) y el Servicio de Administración Tributaria (SAT).
Recientemente Pemex aceptó el riesgo de estar expuesta a ciberataques, fallas en su sistema tecnológico o actos deliberados de empleados que pueden paralizar sus operaciones, luego del secuestro virtual sufrido, que también fue reportado en su momento por el mismo Hiram Camarillo.
AESC