El grupo de hackers Trinity Atribuyó a ello un ataque informático dirigido a la Agencia Tributaria Española (AEAT), probablemente en medio de un doble ataque «ransomware» de extorsión, asegurando haber sustraído 560 GB de datos con información de los contribuyentes y de la propia organización, respecto a su terminación antes del 31 de diciembre para evitar hacer pública la filtración.
Trinity es una organización de cibercrimen relativamente nueva, que fue identificada por primera vez en mayo de este año. Y el, utilizar un tipo de “software” malicioso que se infiltra en los sistemas informáticos de la víctima con el fin de robar información valiosa y posteriormente extorsionar a las víctimas para cambiar el rescate económico.
En este contexto, se asegura que una de sus víctimas es la Agencia Tributaria española, tras un ataque malicioso ocurrido este domingo 1 de diciembre y que fue reconocido por empresas de ciberseguridad como HackManac o Secure&IT. Y ahí, los “hackers” dicen que fueron salvados por el robot un total de 560 GB de datos que contienen información confidencial sobre los contribuyentes y la organización.
Amism, de Trinity, ha amenazado con que toda esta información no reciba un recorte de 38 millones de dólares (y 36 millones de euros al cambio) antes del 31 de diciembre de este año.
Doble extorsión ‘Ransomware’
En concreto, el modus operandi habitual de este grupo de actores maliciosos es el uso de “ransomware” capaz de asegurar información sensible, que ha quedado registrado en operaciones anteriores del grupo Trinity, reconoció un informante de la Oficina de Seguridad de la Información de Estados. Unidos.
Este “ransomware”, también llamado Trinity, realiza ataques de “phishing” a través de redes electrónicas, sitios web maliciosos o vulnerabilidades de interceptación de “software” para introducir en el sistema.
Una vez infectado el equipo, los ciberdelincuentes se dirigen a Cabo Una estafa de doble extorsiónluego, primero identificar y recuperar la información confidencial, luego el cifran y el bloqueo para no poder utilizarla.
Para hacer esto, use el algoritmo de cifrado llamado ChaCha20que bloquea los datos que se han vuelto inaccesibles y los etiqueta con la extensión ‘.trinitylock’. Por lo tanto, al citar los datos que impiden su uso y, posteriormente, incorporar los filtros, se ejerce una doble presión sobre las víctimas para que puedan ser rescatadas.
Según información oficial, el grupo de hackers también gestiona un sitio de asistencia a las víctimas para ayudar a describir los datos, así como un sitio de filtración donde se encuentran los datos robados.
Además, gracias a las técnicas y tácticas del grupo, que son «sofisticadas», han sido derrotados por otros grupos de «ransomware» con las mismas similitudes que comparten, concretamente con 2023Bloqueo y Venusque también utiliza «ransomware» para el robot de datos.
En el caso de que Grupo Trinity asegurara que se llevó a cabo contra la Agencia Tributaria Española, de momento, averigua si usaste el mismo “ransomware” y, por tanto, el mismo método de extorsión.
Por su parte, la Agencia Tributaria confirmó a Europa Press que había revisado todos los sistemas y que, de momento, no había indicios de posibles cifrados de equipos ni salidas de datos. Asimismo, la organización también indicó que continuaría monitoreando todos sus sistemas.