La Dirección General de Migración (DGM) confirmó en la noche del miércoles, luego que medios especializados en cyberseguridad dieran el avance, del ciberataque a su base de datos por el ransomware Rhysida, que filtró nombres, direcciones y fechas de nacimiento de ciudadanos dominicanos y extranjeros.
Rhysida es un grupo cibercriminal que opera con ransomware, un tipo de programa malicioso que encripta sistemas y archivos. Esto para volverlos inaccesibles a sus propios administradores y usuarios.
Rhysida se trata de un grupo que emergió recientemente, a fines de mayo 2023. En concreto, «administra» un ransomware-as-a-Service (un modelo comercial de ciberdelincuencia). Desde su surgimiento el grupo tuvo predilección por objetivos en Latinoamérica. Su primer ataque de alto perfil fue contra entidades públicas de Chile y Argentina, en junio y agosto del 2023, respectivamente. También se cuentan entre sus ataques varios objetivos en Europa y Estados Unidos, entre otros.
Cómo opera Rhysida
Uno de los métodos de dispersión de este ransomware, o software malicioso, es el envío de correos electrónicos falsos que simulan una fuente confiable. Frecuentemente, contienen archivos adjuntos o enlaces que, al abrirlos o hacer clic en ellos, descargan el ransonware en el sistema de la víctima. Es lo que se conoce como phishing.
Otra forma de ataque es mediante la explotación de vulnerabilidades del sistema. Por ejemplo, un software desactualizado o configuraciones de red inseguras. Los atacantes encuentran estos flancos débiles y pueden usarlos para ingresar a los sistemas de las víctimas, y más aún utilizar herramientas automatizadas que escanean la red en busca de más vulnerabilidades.
Las contraseñas débiles pueden ser usadas también como acceso a los sistemas, las primeras pruebas que hacen los atacantes es valerse de las contraseñas más comunes, como «123456» o «contraseña», pero también pueden utilizar herramientas automatizadas que adivinan contraseñas, si estas no son lo suficientemente fuertes. Las mismas deben tener mayor complejidad que solo incorporar mayúsculas y números.
Este ransomware cuenta con un sitio en la dark web donde publican los nombres de las víctimas y publican la información robada en caso de que las víctimas no paguen el rescate.
Una amenaza en la región
Las operaciones de este grupo de ransomware se están conociendo desde hace meses en la región. A diferencia de otros grupos como Lockbit o Black Basta, sus tácticas, técnicas y procedimientos (TTPs, como se conoce en el ambiente de la inteligencia de amenazas) están saliendo a la luz de a poco, en tanto van dejando un rastro en su forma de atacar.
“Las cinco tácticas observadas incluyen movimiento lateral para lograr el control total de la red. El acceso a credenciales para lograr accesos como administrador, conexiones a command & control para mantenerse conectados. Evasión de la defensa para evitar ser detectados y el impacto, que en este caso incluyo el cambio de contraseñas y el cifrado de todos los archivos sin posibilidad de restaurarlos” explicó Alejandro Botter, gerente de ingeniería de Check Point para el sur de Latinoamérica.
