El grupo de cibercriminales conocido como Avaddon ejecutó un ciberataque de ransomware contra la Lotería Nacional (Pronósticos Deportivos) que se dio a conocer el 27 de mayo, 2021. En esa fecha el grupo criminal estableció un plazo de 240 horas para pagar el rescate o de lo contrario difundirían públicamente información sensible.

Tras cumplirse el plazo, Avaddon ha liberado, a través de su blog, alrededor de 3 gigas con información privada, y el grupo delictivo ha advertido que es solo una parte de los datos que tienen secuestrados.

A través de su blog, Avaddon ha informado: ”[…] la empresa no quiere cooperar con nosotros, por eso filtramos algunos de sus documentos y les damos 192 horas para comunicarse y cooperar con nosotros. Si esto no sucede antes de que expire el tiempo establecido en el contador de tiempo, filtraremos por completo documentos valiosos de la empresa y el resto de los datos se venderán […]”

De igual forma, el grupo delictivo menciona: “Para una comprensión general, tenemos datos como todos los contratos y acuerdos de 2009 a 2021, documentos legales, correspondencia, finanzas, datos notariales, subcontratación y mucho más. Al parecer, la empresa no comprende muy bien la gravedad de esta situación y quiere ocultar el hecho de que fueron vulnerados y robamos datos de sus servidores. […] ¿Y si decimos que tenemos una gran cantidad de datos confidenciales como acoso sexual en el lugar de trabajo, incidentes desagradables y mucha suciedad asociada a su empresa? Si continúan mintiendo a todos y no nos contactan sobre este hecho, entonces nosotros estamos dispuestos a sorprender a todos los que sigan esta noticia de nuestro golpe a su empresa, con los documentos interesantes que tenemos”.

En el blog, Avaddon concluye con la advertencia de que los datos no se pueden descifrar sin su descifrador general, además de amenazar a Pronósticos Deportivos con que su sitio será atacado por un ataque de Denegación de Servicio (DDoS).

Avaddon es un grupo cibercriminal que desarrolla y ejecuta un ransomware como servicio (RaaS), el cual fue conocido por primera vez en junio de 2020 y que tiene una firme reputación y una fuerte demanda en el mercado negro y en foros clandestinos.

Avaddon ha tenido un crecimiento importante, sobre todo en América Latina: países como Brasil, Colombia, Chile, Costa Rica, México y Perú registraron víctimas de este grupo criminal, de sectores como gobierno, industria, sector salud, servicios financieros y empresas de telecomunicaciones.

La unidad de investigación de SILIKN señala que los atacantes que utilizan el ransomware Avaddon han comprometido a las víctimas mediante el uso de inicios de sesión de protocolo de escritorio remoto o apuntando a redes privadas virtuales que están mal configuradas o usan autenticación de factor único. El malware que dispersan, además de aumentar los privilegios, contiene un código de protección anti-análisis y permite la persistencia en el sistema de la víctima.

De igual forma, las acciones delictivas de Avaddon se están propagando a través de correos electrónicos con phishing y spam que distribuyen archivos JavaScript maliciosos. Avaddon cifra los datos utilizando una clave de cifrado AES-256 única, verifica el idioma del sistema operativo y la distribución del teclado, así como la geolocalización predeterminada y el idioma del sistema del dispositivo del usuario para determinar si el usuario puede ser objetivo del ataque.

Los grupos criminales se han aprovechado de la falta de seguridad cibernética y estrategias débiles para llevar a cabo innumerables ataques de ransomware durante el último año. Defenderse con éxito contra estas amenazas cibernéticas exige preparación y una comprensión profunda de las alertas y comportamientos poco comunes para monitorear e identificar aquellos que significan el inicio de un ataque.

Esta amenaza debe ser una prioridad para todas las empresas, quienes deben implementar las herramientas adecuadas para monitorear sus sistemas y detectar, apagar y contener actividades sospechosas, al mismo tiempo que desarrollan programas de capacitación en temas de ciberseguridad que ayuden a los empleados a fungir como primera línea de defensa.

Sobre el autor: Víctor Ruiz es fundador de SILIKN y mentor del Centro de Ciberseguridad 05000.