El grupo RansomHub, especializado en ransomware (secuestro de datos) y extorsión, ha incluido en su lista de víctimas al sitio oficial de la UNAM, afirmando haber cifrado la información de más de 37 mil usuarios del sitio, la cual solo sería liberada si se paga un rescate cuya cantidad no ha sido revelada.
Según datos disponibles en el sitio Ransomware Live, que utiliza inteligencia artificial para detectar este tipo de ataques en todo el mundo, las credenciales, incluyendo claves de acceso, de 37,215 usuarios y 773 empleados podrían haber sido comprometidas por los ciberdelincuentes, quienes fundaron su grupo en febrero de 2024.
Además, los datos preliminares indican que al menos 261 direcciones URL de empleados podrían estar comprometidas, lo que las hace vulnerables a ataques externos, ya que podrían servir como puntos de entrada para los atacantes.
En total, los atacantes aseguran haber robado 20 gigabytes de información, que incluye contraseñas susceptibles de ser utilizadas para estos fines. Además, según Ransomware Live, el ataque podría haber sido ejecutado a través de Infostealer, un malware diseñado para robar la información de las víctimas.
Secuestradores de datos suelen exigir cantidades estratosféricas
A pesar de ser un grupo reciente, RansomHub ha llamado la atención rápidamente por dirigirse principalmente a organizaciones del sector sanitario, como Change Healthcare, exigiendo pagos de rescate para no divulgar datos sensibles robados. Actualmente, su lista incluye a 52 víctimas y ha filtrado ilegalmente los datos de más de una treintena de ellas que, presumiblemente, no han pagado para recuperar la información.
Esto se debe a que los grupos de ransomware suelen exigir cantidades significativas a cambio de restaurar la información original y eliminar el cifrado de datos. Por ejemplo, en abril, Publimetro México informó que el grupo Rhysida solicitaba 5 bitcoins, equivalentes a cerca de cinco millones de pesos, a la organización de medios El Debate para recuperar su información, la cual finalmente liberaron de forma gratuita en su sitio en la dark web.
Sobre este tema, Víctor Ruiz, socio de la empresa de ciberseguridad Silikn, explicó a través de su cuenta oficial de X el funcionamiento del grupo RansomHub, indicando que “aparentemente está formado por antiguos miembros de ALPHV/Black Cat y opera bajo un modelo de ransomware como servicio (RaaS), permitiendo a los afiliados retener el 90% de los ingresos del rescate”.
Como antecedente, Ruiz recordó que el 19 de diciembre de 2023, el Departamento de Justicia de Estados Unidos anunció la interrupción de ALPHV/Blackcat, por lo que se estima que RansomHub retomó las actividades pendientes de este grupo para mantener operativa la red de afiliados.
“RansomHub está compuesto por ciberdelincuentes de diversas ubicaciones globales. Su objetivo es obtener ganancias financieras a través de sus ataques. A diferencia de algunos grupos que atacan a países específicos, no tiene restricciones geográficas ni de tipo de víctima”
— Víctor Ruiz, socio fundador de Silikn
El grupo también alberga datos de muestra de víctimas de las cuales no pudo recibir pago, disponibles para su descarga en su sitio web. Esta táctica agresiva de filtración de datos subraya la amenaza que representa RansomHub en el mundo del ransomware.
— Víctor Ruiz (@victor_ruiz) May 3, 2024
Es importante destacar que RansomHub también ha introducido una novedad en el panorama del ransomware al evitar atacar a organizaciones en ciertos países como Cuba, China, Corea del Norte y los países de la CEI (Comunidad de Estados Independientes), así como a entidades sin fines de lucro. Esto refleja una tendencia creciente entre los grupos de ransomware de dirigir sus esfuerzos a objetivos percibidos como más rentables o menos protegidos.
