El grupo de ransomware LockBit amenazó con exponer la información confidencial del gobierno de Yucatán el 21 de mayo tras una indagatoria del FBI y la NCA
Este lunes 6 de mayo, el grupo de ransomware LockBit, conocido por secuestrar información, cifrarla y extorsionar a las víctimas exigiendo cantidades multimillonarias como rescate por sus datos, anunció que el sitio oficial del gobierno de Yucatán se encuentra entre su lista de entidades atacadas.
Si bien los ciberatacantes no detallan qué información poseen, destacan, basándose en datos del propio sitio, que la página almacena información de la cuenta pública, el diario oficial y los pagos en línea. Esto representa un riesgo significativo, ya que existe la posibilidad de que se vea comprometida información fiscal y bancaria de todos los usuarios que han accedido a dicha página.
El sitio de LockBit, ubicado en la deep web, incorporó un contador en el que otorga 14 días al gobierno de Yucatán previo a liberar la información que presume poseer. Esto coincide con la práctica común de otros grupos de ransomware, donde este lapso suele ser el tiempo otorgado a las víctimas para efectuar un pago específico, usualmente en bitcoins, con el fin de recuperar sus datos.
De lo contrario, suelen filtrar la información en Internet de manera gratuita, haciéndola accesible para cualquier persona con acceso a la deep web. Esta información podría ser utilizada con fines delictivos, como ataques de phishing o suplantación de identidad.
¿Es una amenaza real?
Aunque algunos expertos en ciberseguridad sugieren que este evento podría ser solo la republicación de un ataque previo que afectó al gobierno de Yucatán en abril de 2023, otros plantean la posibilidad de que se trate de un nuevo ataque o incluso una amenaza de filtración de los datos secuestrados, lo que pondría en riesgo la privacidad de miles de habitantes del estado.
LockBit es investigado en el mundo
La amenaza ocurre en el contexto de una serie de investigaciones lideradas por el FBI y la NCA del Reino Unido, bajo el nombre de Operación Cronos, la cual ha resultado en varios golpes contra el grupo de ransomware —de origen aparentemente ruso— como la incautación de la infraestructura de LockBit, que incluyó la confiscación de servidores y la obtención de claves de descifrado.
Además, se espera que mañana, 7 de mayo, estas agencias —que posibilitaron que algunas víctimas recuperaran sus archivos sin pagar el rescate exigido— divulguen nueva información sobre el grupo de ransomware LockBit. Por lo tanto, esta reciente publicación podría ser vista como una represalia ante las investigaciones en su contra.
¿Es un nuevo ataque o una vieja amenaza?
Para obtener mayores datos sobre lo que hay detrás de la reciente publicación de LockBit, Publimetro México buscó a Víctor Ruiz, socio de la empresa de ciberseguridad Silikn, quien recordó que el primer ataque al gobierno de Yucatán (abril de 2023) fue perpetrado por un grupo conocido como ALPHV/Blackcat y, dado que el FBI también intervino y desmanteló el sitio de estos ciberdelincuentes, se desconoce si las autoridades accedieron a pagar el rescate por su información.
Asimismo, Ruiz resaltó que no hay antecedente de que LockBit haya dirigido un ataque previo contra el gobierno de Yucatán, por lo que planteó dos hipótesis: que, tras la intervención del FBI contra el grupo durante la Operación Cronos, se haya llevado a cabo el ataque al gobierno de Yucatán y apenas se haya dado a conocer o que este sea un ataque completamente nuevo por parte de LockBit.