El grupo de ransomware RansomHub añadió a la empresa de electrodomésticos mexicana Mabe a su lista de víctimas, amenazando con liberar toda la información que han secuestrado —y que podría incluir información financiera de México y Latinoamérica— si la compañía no paga una extorsión, la cual ascendería a varios millones de pesos.
Según la publicación en su foro de la deep web, el sitio vulnerado es el de mabeglobal.com, por lo que podría afectar a clientes y socios en países como México, Guatemala, Costa Rica, Ecuador, Nicaragua, Perú, Honduras, Panamá, El Salvador y Chile.
En particular, los atacantes afirman tener 1.5 TB de datos, es decir, una cifra bastante elevada considerando a sus otras víctimas, donde la cantidad de información robada va entre 50 y 800 GB. Asimismo, según las evidencias mostradas, cuentan con contratos, balanzas comerciales, comprobantes de pago, contratos de trabajo, etc.
Los graves antecedentes del grupo de hackers
RansomHub es uno de los grupos de ransomware más peligrosos a nivel global y cuenta con múltiples ataques confirmados en su historial. Uno de los incidentes recientes más preocupantes fue contra el Grupo Aeroportuario Centro Norte (OMA), que opera 13 aeropuertos en México.
OMA confirmó el ciberataque el 18 de octubre, y el 24 de octubre, RansomHub publicó evidencia que incluye una variedad de archivos sensibles. Además, insinuaron posibles vínculos de algunos empleados de OMA con cárteles del narcotráfico, lo cual ha intensificado la preocupación en torno a este caso.
En el caso de OMA, RansomHub ha amenazado con filtrar toda la información el próximo sábado 2 de noviembre. Planean compartirla primero con competidores directos de OMA y, posteriormente, liberarla en internet, lo que afectaría también a los pasajeros que utilizan aeropuertos como el de Monterrey, Acapulco, Mazatlán, Zihuatanejo, Ciudad Juárez, y Culiacán, entre otros.
En particular, RansomHub ha apuntado recientemente a varias víctimas en México. Según Ransomware Live, además de Mabe y OMA, entre las afectadas están Medicato (atacada el 13 de octubre), BP Jaguar (atacada el 23 de julio) y la UNAM (atacada el 3 de mayo).
Los orígenes de RansomHub y su alta peligrosidad
México ha sido atacado por alrededor de diez grupos de ransomware que envían malware para cifrar y secuestrar información, exigiendo grandes cantidades de dinero para su liberación. Estos incluyen a LockBit 2, LockBit 3, Alphv, 8base, Noescape, Hunters, Akira, Play, Trigona y RansomHub, el cual, a pesar de tener el 7.4% de los ataques al país, destaca por reciente creación.
La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE.UU. (CISA) incluso ha clasificado a RansomHub como una de las amenazas de ransomware más prolíficas, con al menos 210 víctimas, muchas de ellas en sectores de infraestructura crítica en Estados Unidos.
RansomHub también ha reclutado antiguos afiliados de LockBit y del extinto grupo ALPHV/BlackCat. Aunque los afiliados de RansomHub operan globalmente, evitan atacar a países como los de la Comunidad de Estados Independientes (CEI), Cuba, Corea del Norte y China, en línea con la estrategia de grupos de ransomware vinculados a Rusia.
Las víctimas de RansomHub generalmente tienen entre tres y 90 días para efectuar el pago antes de que sus datos se publiquen en el sitio de filtración de datos del grupo.
