El Programa de las Naciones Unidas para el Desarrollo (PNUD), institución de la ONU cuyo cometido es reducir la desigualdad y la pobreza en todo el mundo, ha revelado haber sido víctima de un ataque de ransomware.
Según ha comunicado la agencia, el pasado mes de marzo, un actor de amenazas violó sus sistemas de TI y llegó a exfiltrar datos de recursos humanos.
"El PNUC experimentó recientemente un ciberataque, en el que el objetivo fue la infraestructura de TI local en la Ciudad de las Naciones Unidas en Copenhague", ha explicado el organismo en un comunicado de prensa.
“El 27 de marzo, el PNUD recibió una notificación de inteligencia de amenazas de que un actor de extorsión de datos había robado datos que incluían cierta información sobre recursos humanos y adquisiciones", añade.
Según comenta la agencia, tomó medidas "de inmediato" para identificar una fuente potencial y contener el servidor afectado, así como para determinar los detalles expuestos e identificar quiénes se vieron afectados.
La institución habría iniciado, igualmente, una investigación para determinar la magnitud del incidente y para conocer con exactitud qué tipo de datos fueron robados por los ciberdelincuentes.
Además, el programa ha avisado de lo ocurrido a los afectados y se ha puesto en contacto con otras agencias y socios de las Naciones Unidas.
Los autores
La banda de ransomware 8Base se ha atribuido la responsabilidad del ataque, incluyendo a la institución en su página de filtraciones de la dark web.
En su 'anuncio' aseguran haberse hecho con documentos contables, datos personales, contratos de trabajo, acuerdos de confidencialidad, archivos personales, certificados, facturas, recibos, una "enorme cantidad de información confidencial" y más.
Según una investigación llevada a cabo por el equipo de VMware Carbon Black, 8base ha estado activo desde 2022 y durante el pasado mes de junio su actividad tuvo un pico importante. Entre sus objetivo principales ha habido servicios de empresas, organizaciones financieras, industria fabricante e industria tecnológica.
La investigación especula que esta banda podría ser un 'renombramiento' de algún grupo de ransomware ya establecido previamente, como Ransomhouse, o alguna colaboración de miembros de grupos anteriores. De hecho, parece que habrán copiado algunas cosas de esta formación, como la sección de preguntas frecuentes en su página.
8Base también utilizaría algunos elementos de la operación de ransomware as a service Phobos, con una versión personalizada de su malware.
Por el momento el PNUD no ha confirmado que los autores del incidente sea la mencionada pandilla de ransomware. Tampoco se ha revelado a cuánto habría ascendido la cuantía del rescate exigido por los cibermalos.