Este fin de semana el sistema de alertas de ciberseguridad HackManac advirtió de un ciberataque que supuestamente había afectado a la Agencia Tributaria de España (AEAT). Según dicha alerta, se robaron y cifraron 560 GB de datos con un ransomware llamado Trinity. En la descripción se incluyen una cantidad, 38 millones de dólares —probablemente, el rescate pedido— y una fecha, el 31 de diciembre de 2024 a las 12 de la noche —teóricamente la fecha límite para el pago antes de publicar/vender los datos—. Ahora bien, ¿qué es Trinity?
Trinity. Este ransomware se detectó por primera vez en mayo de 2024. Como otros ciberataques de este tipo, este malware es capaz de cifrar datos de forma que sus propietarios no puedan acceder a ellos ni usarlos. En este caso los ficheros afectados acaban siendo renombrados con una extensión ".trinitylock"
Cómo actúa. Este software malicioso se infiltra en los sistemas mediante diversos vectores de ataque como phishing, sitios web maliciosos o la explotación de vulnerabilidades software. A partir de ahí el ransomware recolecta datos del sistema en el que se infiltra (características del procesador, unidades conectadas) y trata de ganar privilegios intentando "colarse" como un proceso legítimo. Una vez logrado el acceso, intenta expandirse por la red para atacar a múltiples sistemas.
No solo cifra, también roba. Como indican en Hive Pro, cuando Trinity ha logrado infiltrarse en el sistema, el ransomware hace dos cosas: en primer lugar, roba los datos que cifrará para que queden en posesión del ciberatacante. Y en segundo, los cifra con un algoritmo de cifrado que hace que esos datos queden inutilizables en el sistema de la víctima a no ser que se use una clave de descifrado.
Similar a otros conocidos. Trinity parece tener similitudes con los ransomware Venus y 2023Lock. Por ejemplo, Trinity y Venus usan un algoritmo de cifrado llamado ChaCha20, y comparte por ejemplo el tipo de mensajes que dejan los atacantes tras usar 2023Lock, lo que parece indicar que Trinity es un "fork" de estas aplicaciones maliciosas. Al terminar su ataque, Trinity muestra una nota de rescate en texto y también en formato .hta (aplicación HTML), y además cambia el fondo de escritorio mediante un cambio en el registro de Windows.

De momento no hay solución. Por ahora no se conocen herramientas con las que descifrar este tipo de ransomware, lo que hace que las víctimas tengan pocas opciones. Según indican en WatchGuard, los ciberdelincuentes que usan este software exigen el pago del rescate (ransom) en forma de criptomonedas. Para comunicarse con ellos dejan una dirección de correo o incluso ofrecen la opción de contacto a través de una URL de la Deep Web (.onion) que se puede visitar con el navegador Tor.
En Xataka | LockBit era el grupo de ransomware más peligroso del mundo. Su proveedor ha sido detenido en Madrid
Ver 20 comentarios
20 comentarios
dabelo
Si la AEPD impone una multa a Hacienda por fuga de datos, negligencia, incumplimiento de protocolo y fallos de seguridad quien pagará la multa? no hace falta contestar que ya sé la respuesta
Usuario desactivado
Recuerda, no es magia, son tus impuestos, usados como el culo para proteger tus datos pero con seguridad pagada a precio de fortaleza.
syrou
Los 38 millones de dólares son los ingresos de Hacienda que figura en el anuncio del ransomware, no el coste del rescate.
ultraverse
"(Tampoco) se veía venir".. pero los impuestos igual te los tenemos que subir, que sin más llenar chiringuitxs no hay carreteras ni hospitales.
Atte.-
Un Comité (también secreto) de "ecspertos"
derechozapatillas92
Pero si los gobiernos nunca invierten en ciberseguridad o seguridad informatica. Bancos que contratan a Don Tito de 50 años y Jose de 48. 2 pobres señores pasados de edad y de peso. Para cubrir pisos de datacenter. Si contratan gente joven, no quieren enseñarles por miedo a perder el empleo. Entonces se guardan sus secretos (las mañanas y fallas de la infra que la conocen de punta a punta)
O peor, biotecnologicas que ni departamento de ciberseguridad, que hasta descargan el paquete office por internet para ahorrarse las licencias.
Hasta que no pase a ser obligatorio segurodad informatica. Con la conciencia de que tiene que ser un departamento mas, como lo es finanzas, marketing. Y que tienen que pagarle el doble que a marketing, por que te hacen trabajar 24/7. Con las guardias pasivas te tienen atado 24 hs. Los fin de semanas, las vacaciones.
mitxael
Se puede sacar info de la DGT, de Sanidad, de Justicia... de lo que quieras. Pero j0d3r a la Agencia Tributaria es el peor pecado que se puede cometer contra un Estado. Si fuera Perro enviaría un escuadrón asesino a por los hackers para mandar un claro mensaje. No hay mejor Cyberseguridad...