El reciente ataque de RansomHub a la Universidad Nacional Autónoma de México (UNAM) ha puesto de manifiesto una vez más la vulnerabilidad de las instituciones educativas frente a los ciberataques. Este incidente, que resultó en el secuestro de datos de aproximadamente 37,000 usuarios, resalta la creciente sofisticación y frecuencia de los ataques de ransomware. El grupo de ransomware incluyó a la UNAM en su lista de más de 50 víctimas de secuestro de datos y extorsión.
Ataque a la UNAM
El grupo RansomHub, especializado en ataques de ransomware y extorsión, ha sumado al sitio oficial de la UNAM a su lista de afectados, declarando haber cifrado datos de más de 37 mil usuarios, los cuales prometen liberar únicamente tras el pago de un rescate, cuyo monto no se ha especificado.
De acuerdo con la información obtenida por Ransomware Live, un sitio que emplea inteligencia artificial para monitorear este tipo de ataques globalmente, se estima que las credenciales de 37,215 usuarios y 773 empleados podrían estar en riesgo tras la incursión de estos ciberdelincuentes, que establecieron su operación en febrero de 2024.
Los informes preliminares también sugieren que al menos 261 direcciones URL pertenecientes a trabajadores estarían comprometidas, incrementando el riesgo de ataques futuros al servir como posibles puntos de entrada.
En total, los atacantes afirman haber sustraído 20 gigabytes de información crítica, incluyendo contraseñas que podrían facilitar accesos no autorizados. Según datos de Ransomware Live, el ataque pudo haber sido perpetrado utilizando Infostealer, un tipo de malware que se especializa en la extracción de información de las víctimas.
Conoce más sobre: Resumen de los Principales Ciberataques en Marzo de 2024
Grupos de Ransomware suelen exigir cantidades estratosféricas
RansomHub, a pesar de ser un grupo reciente, ha capturado rápidamente la atención al enfocarse en organizaciones del sector sanitario, como Change Healthcare, donde han exigido rescates para no divulgar información sensible robada. Hasta la fecha, han incluido a 52 víctimas en su lista y han filtrado los datos de más de 30 de ellas que presumiblemente, no pagaron por recuperar su información.
Los grupos de ransomware generalmente demandan sumas significativas para restaurar los datos originales y eliminar el cifrado. Por ejemplo, en abril, se reportó que el grupo Rhysida pedía 5 bitcoins, aproximadamente cinco millones de pesos, a la organización de medios El Debate para recuperar su información, la cual fue finalmente liberada de manera gratuita en su sitio en la dark web.
En este contexto, RansomHub parece estar formado por exmiembros de ALPHV/Black Cat y opera bajo un modelo de ransomware como servicio (RaaS), permitiendo a los afiliados retener el 90% de los ingresos del rescate.
Es relevante mencionar que RansomHub ha introducido una novedad en el panorama del ransomware al evitar atacar a organizaciones en ciertos países como Cuba, China, Corea del Norte y los países de la CEI (Comunidad de Estados Independientes), así como a entidades sin fines de lucro. Esto indica una tendencia creciente entre los grupos de ransomware de apuntar sus esfuerzos hacia objetivos que perciben como más rentables o menos protegidos.
Te podrá interesar: México: ¿Futuro Laboratorio de Pruebas de Ransomware?
Conclusión
El aumento de los ataques de ransomware como el perpetrado por RansomHub contra la UNAM evidencia la necesidad imperiosa de mejorar las medidas de seguridad informática en todas las instituciones. Es fundamental adoptar prácticas proactivas para prevenir infecciones de malware y estar preparados para responder de manera efectiva en caso de un ataque. La educación y la conciencia sobre la ciberseguridad deben ser prioritarias para proteger nuestros datos personales y corporativos en la creciente esfera digital.
