Recientemente, Paraguay ha sido testigo de un aumento significativo en los ataques de ransomware, especialmente después del destacado incidente de seguridad en Tigo Business. El ejército de Paraguay ha emitido una advertencia sobre los ataques de ransomware de Black Hunt después de que Tigo Business sufriera un ciberataque la semana pasada que afectó los servicios de nube y hosting en su división comercial.
Tigo, el principal operador de telefonía móvil en Paraguay, ofrece soluciones digitales a empresas a través de su división Tigo Business, que incluye servicios de consultoría en ciberseguridad, alojamiento de centros de datos, soluciones en la nube y redes de área amplia (WAN). Durante el fin de semana, se informó en los medios locales que las empresas experimentaron interrupciones en sus sitios web alojados en Tigo Business desde el jueves.
Aunque se sospechaba que Tigo había sido objeto de un ciberataque, la empresa no confirmó oficialmente el incidente hasta el fin de semana, cuando emitió un comunicado.
El comunicado de Tigo Business declaró: "El 4 de enero pasado, fuimos víctimas de un incidente de seguridad en nuestra infraestructura de Tigo Business Paraguay, que afectó la prestación normal de ciertos servicios específicos para un grupo limitado de clientes corporativos (empresas)."
El comunicado también enfatizó que muchas de las noticias reportadas en línea eran inexactas y que el ataque no afectó los servicios de Internet, telefonía y billeteras electrónicas de Tigo Money.
Aunque Tigo no proporcionó detalles específicos sobre el ciberataque, numerosos informes en redes sociales indicaron que fueron atacados por la operación de ransomware conocida como Black Hunt. Estos informes señalaron que más de 330 servidores fueron cifrados y que las copias de seguridad se vieron comprometidas durante el ataque.
Te podrá interesar leer: Detección de Ataques de Ransomware con Wazuh
Al día siguiente, la Dirección General de Tecnologías de la Información y las Comunicaciones de las Fuerzas Armadas de Paraguay emitió una alerta dirigida a las empresas del país, advirtiéndoles sobre los ataques perpetrados por el ransomware conocido como Black Hunt.
"El DSIRT-MIL de la DIGETIC/FFAA emitió una alerta oficial en relación con el reciente incidente de ciberseguridad que ha tenido un impacto significativo en uno de los principales proveedores de servicios de Internet del país. Este incidente ha afectado directamente a más de 300 empresas asociadas a dicho proveedor, comprometiendo sus copias de seguridad, sitios web, correos electrónicos y almacenamiento en la nube", se señaló en una advertencia emitida por el DSIRT-MIL de Paraguay, que posteriormente fue retirada.
"Según los informes de especialistas en ciberseguridad, el incidente está relacionado con una infección de ransomware atribuida a un grupo de ciberdelincuentes denominado Black Hunt". El boletín fue retirado posteriormente, y el DSIRT-MIL afirmó que no estaba relacionado con ningún incidente de ciberseguridad.
Podría también interesarte: Evita el Pago de Ransomware: Riesgos del Rescate
La operación de ransomware Black Hunt surgió a finales de 2022, cuando los investigadores de ciberseguridad comenzaron a reportar sus ataques. Esta operación suele dirigirse principalmente a empresas en América del Sur. Al igual que otras operaciones de ransomware, los ciberdelincuentes detrás de Black Hunt infiltran las redes corporativas y se desplazan silenciosamente a través de los dispositivos hasta obtener suficiente acceso para llevar a cabo el cifrado de los datos en la red.
Una vez que se inicia el proceso de cifrado, se ejecutan comandos para eliminar los registros de eventos de Windows, borrar instantáneas de volumen y diarios NTFS, y deshabilitar las opciones de recuperación de Windows. Además de lo mencionado anteriormente, Black Hunt realiza numerosos cambios en el sistema Windows, como la desactivación de Microsoft Defender, la creación de nuevos usuarios, la desactivación de la función de Restaurar sistema y la deshabilitación del Administrador de tareas y el comando Ejecutar.
Después de cifrar los archivos, el ransomware agrega una extensión en el formato [unique_id].[contact_email].Hunt2 (en las versiones más recientes) o [unique_id].[contact_email].Black (en las versiones anteriores).
En cada carpeta afectada, el ransomware crea notas de rescate con los nombres #BlackHunt_ReadMe.hta y #BlackHunt_ReadMe.txt, que contienen información sobre el ataque y direcciones de correo electrónico que se pueden utilizar para comunicarse con los responsables de la amenaza.
Aunque las notas de rescate afirman que los ciberdelincuentes roban datos durante los ataques, no se han registrado casos de filtración de datos robados por parte de esta operación de ransomware. Además, un sitio Tor mencionado en la versión HTML de la nota de rescate no está operativo y parece ser falso.
Sin embargo, dado que los ciberdelincuentes tuvieron acceso completo a los dispositivos cifrados, se presume que los datos quedaron expuestos durante los ataques y, por lo tanto, se debe considerar que estuvieron en riesgo.
Podría interesarte leer: Costo de Inacción en Ciberseguridad
El incidente de Tigo Business en Paraguay es un recordatorio oportuno de la amenaza persistente y en evolución del ransomware. La protección contra ataques como "Black Hunt" requiere una combinación de educación, herramientas tecnológicas adecuadas, y una sólida colaboración entre sectores. Al tomar medidas proactivas y estar preparados para responder adecuadamente, empresas e individuos pueden reducir significativamente el riesgo de ser víctimas de estos ataques cibernéticos devastadores.