El jueves por la noche, el ransomware (secuestro de datos) Avaddon atacó a la Lotenal y le dio 10 días a la institución para pagar el rescate de la información.
Los ciberdelincuentes de Avaddon que secuestraron información de Pronósticos Deportivos de la Lotería Nacional (Lotenal) amenazaron este sábado con dar a conocer información confidencial si mienten sobre el ataque y si no les responden.
"Aparentemente, la empresa no entiende la seriedad de la situación y quiere ocultar el hecho de que fueron atacados y robamos datos de sus servidores", señaló Avaddon.
Y lanzó la pregunta a Pronósticos Deportivos: "¿Y si decimos que tenemos una gran cantidad de datos confidenciales, como de acoso sexual en el lugar de trabajo, incidentes desagradables y mucha suciedad asociada con su empresa?".
El jueves por la noche, el ransomware (secuestro de datos) Avaddon atacó a la Lotenal y le dio 10 días a la institución para pagar el rescate de la información.
Por su parte, el pasado viernes, Lotenal informó que sus sistemas informáticos se encuentran en actualización, pero este sábado no se pronunció al respecto.
Este ataque de ransomware es el segundo al gobierno mexicano durante la presente administración, pues en noviembre de 2019 Pemex confirmó ataques cibernéticos que afectaron a 5% de sus computadoras. Sin embargo, la petrolera aseguró que el ciberataque no afectó sus operaciones.
¿Cómo opera Avaddon?
El ransomware como amenaza ha evolucionado y ahora involucra ataques dirigidos, en los cuales los ciberdelicuentes piden pagos más altos y usan mecanismos más sofisticados al secuestrar equipos y sistemas de empresas y gobiernos.
Martina López, investigadora de seguridad de Eset, explica en un análisis que Avaddon, grupo que atacó a Pronósticos Deportivos de la Lotería Nacional, es un ransomware como servicio (RaaS, por sus siglas en inglés) y cuenta con una sólida reputación en los mercados negros.
Esto significa que terceros contratan a los ciberdelincuentes para determinados servicios y objetivos. "Si bien los blancos de ataque más comunes en su corto periodo de vida han sido pequeñas y medianas empresas de Europa y Estados Unidos, algo que llamó nuestra atención es la cantidad de afectados por este ransomware en América Latina", destaca López.
En Brasil, Perú, Chile y Costa Rica se ha dado cuenta de víctimas de Avaddon en los últimos meses, desde organismos gubernamentales hasta compañías de industrias en el sector salud o en el de telecomunicaciones.
En enero de 2021, la cantidad de empresas afectadas por Avaddon eran 23, y al menos cinco se encontraban en América Latina.
La manera en cómo opera es a través de correos electrónicos con archivos adjuntos en formato ZIP, con un archivo javascript malicioso, señala la analista.
"Estos correos incluían un mensaje en el cuerpo del correo que buscaban despertar la curiosidad del usuario, como una supuesta foto o similar", detalla.
Ataque "como servicio"
Este modelo de ransomware como servicio que utiliza Avaddon permite la construcción de un servicio de creación de amenazas "a la medida", detalla López. Así, Avaddon puede adaptar los mecanismos de infección según las características del blanco elegido.
"Esto implica variaciones en los métodos utilizados para establecer un primer contacto, el monto que se solicita a la víctima para el pago del rescate, o modificar para cada ataque el código malicioso para evitar ser detectados por soluciones de seguridad que sepan de la existencia de ataques previos de la misma amenaza", señala.
