Chantaje a Adif: cibercriminales amenazan con difundir 800GB de información sensible

La empresa pública Adif, responsable de la construcción y gestión de líneas de ferrocarril, ha sufrido un ciberataque que ha desembocado en el robo de 800 gigas de información privada y sensible de la compañía. La acción ha sido ejecutada por REVil, un conocido grupo de ciberdelincuentes, que se ha puesto en contacto con Adif para informarles de la sustracción.

El grupo ha difundido este miércoles la información en Happy Blog, una página de la 'dark web' solo accesible mediante la red Tor. Según las imágenes compartidas en dicha web y en diversas redes sociales, los ciberdelincuentes tienen en su poder un amplio abanico de información: contratos, facturas, correspondencia privada, números de teléfono, datos de clientes, certificados, expedientes, tarifas e incluso informes internos.

Desde REVil se insta a Adif a ponerse en contacto con ellos. "Si no cumplís nuestras condiciones", asegura el grupo, "vuestra información será publicada. Seguiremos descargando vuestros datos hasta que contactéis con nosotros". Teknautas se ha puesto en contacto con Adif, que ha confirmado la existencia de dicho ataque y asegura que este "ha sido controlado por los servicios internos de seguridad. En ningún momento se ha visto afectada la infraestructura, garantizándose siempre el buen funcionamiento de todos sus servicios. Adif, consciente de ser el gestor de una infraestructura crítica como es la explotación de la red ferroviaria, considera la ciberseguridad como uno de los pilares de la seguridad integral".

Los criminales que 'hackearon' a Lady Gaga

Pero ¿qué es REVil y hasta qué punto son verdaderamente peligrosos? El colectivo no es demasiado conocido entre el ciudadano medio, pero sí dentro del sector de la ciberseguridad: se trata de un grupo de cibercriminales con un breve pero peligroso historial delictivo.

Su acción más conocida tuvo lugar hace apenas dos meses, en mayo de 2020. Fue entonces cuando entraron en los sistemas de la firma Grubman Shire Meiselas & Sacks, que representa a artistas como Lady Gaga, Madonna o Bruce Springsteen, y robaron 756 GB de material privado sobre la artista neoyorquina, además de, supuestamente, ingente material sobre Donald Trump.

El grupo pidió un rescate de 21 millones de dólares a cambio de no publicar la información sustraída, pero el despacho se negó a pagar, lo que hizo que REVil subiese aún más su petición de rescate: hasta los 42 millones de dólares. Ante la nueva negativa, publicaron parte de la información y subastaron el resto.

Un mes antes, en abril, la víctima de REVil fue la compañía de divisas Travelex, que vio infectados todos sus sistemas a través del 'ransomware' homónimo del grupo. En este caso, el más grave hasta la fecha, la compañía acabó sucumbiendo y pagó los 2,3 millones de dólares a modo de rescate de su información, frente a los 6 millones que exigieron los ciberdelincuentes.

La subasta de datos robados es práctica habitual de este grupo, según asegura a Teknautas Brett Callow, de Emsisoft, aunque en este caso "amenazan con publicar los datos en lugar de subastarlos. Eso podría ser porque no creen que los datos tengan un valor de mercado significativo... o porque sí que planean subastarlos pero han redactado su escrito de manera descuidada".

Respecto a las posibles identidades de los integrantes de REVil, Callow asegura que "la evidencia sugiere una posible conexión entre ellos y GandCrab [otro grupo de ciberdelincuentes, ahora presumiblemente retirados] y que podrían estar en Rusia o en otro país de la Comunidad de Estados Independientes" (Bielorrusia, Ucrania, Armenia, Azerbaiyán, Kazajistán, Kirguistán, Moldavia, Tayikistán, Turkmenistán o Uzbekistán).

"No hay que pagar rescates"

En cuanto a las posibles condiciones que REVil pudiera imponer a Adif para no hacer pública toda su información sensible, Callow es tajante: "Europol y otros organismos encargados de hacer cumplir la ley han aconsejado sistemáticamente que no se pague rescates, y ese es el mejor consejo. La única forma de detener los ataques de 'ransomware' es hacer que no sean rentables, y eso significa que las empresas deben dejar de pagarlos".

Así pues, en su opinión, "en casos de robo de datos, las compañías no tienen una buena opción: han sido violadas y pagar no cambia ese hecho. Incluso si pagan, simplemente recibirán una 'promesa de meñique' de que los delincuentes eliminarán su copia de los datos, y esa promesa, obviamente, no tiene mucho peso".