A mediados del pasado mes de mayo, tal y como informábamos en Escudo Digital, la publicación de un comunicado en el blog LockBit 3.0 Leaked Data, alojado en la dark web, confirmaba el acceso y robo de 3 TB de información con datos de miles de usuarios de Euskaltel, R y Telecable, empresas pertenecientes al grupo MásMóvil, provocando además problemas en los sistemas y en el servicio de atención al cliente. Desde la telefónica Euskaltel se limitaron entonces a señalar que fue detectada una “incidencia técnica” y que sus servicios funcionaban “con total normalidad”, sin hacer mención alguna al ultimatum lanzado desde esta bando según la cual, si no recibían el rescate antes del pasado 5 de junio, comenzaría a divulgar los datos robados.
Dicho y hecho. Porque Euskaltel ha comunicado ahora a todos sus empleados que datos suyos, tales como nombre, apellidos, número de DNI, el número de cuenta (IBAN) y, en algún caso, datos de nómina, se encuentran colgadas en la Dark Web tras el ciberataque con el ransomware LockBit del pasado mes de mayo.
En el comunicado se explica, no obstante la gravedad del robo, que solo con los datos de la cuenta no se pueden domiciliar recibos ni realizar pagos y que, si se realiza algún cargo en su cuenta, dispondrían de un plazo de 13 meses para solicitar su devolución.
Además advierten de la posibilidad de que alguien pueda utilizar estos datos para poner en marcha alguna otra práctica delictiva tales como el smishing (con SMS que suplantan a tu banco) o vishing (fraude a través de llamadas telefónicas) en las que los delincuentes utilicen esa información para tratar de engañar a la víctima, por lo que recomiendan estar especialmente atentos a correos, SMS o cualquier tipo de comunicaciones sospechosas y no facilitar nunca claves de acceso.
El ransomware LockBit ofrece lo que se conoce como ransomware-as-a-service o ransomware como servicio (RaaS). Es decir, permite a los afiliados de este colectivo de piratas informáticos implementar su malware y servirse de su infraestructura al lanzar ataques de extorsión contra empresas y organizaciones.
Los primeros ataques con este ransomware se detectaron en septiembre de 2019, y fue entonces que recibió el apodo «virus .abcd». El apodo hacía referencia la extensión del archivo utilizada al cifrar los archivos de la víctima. Entre los objetivos anteriores más importantes figuran organizaciones de los Estados Unidos, China, India, Indonesia y Ucrania. Además, varios países europeos (Francia, Reino Unido y Alemania) han sufrido ataques.
Entre las víctimas del ransomware se encuentran desde los Macs de Apple, empresas de seguridad como Darktrace, la empresa municipal de aguas de Portugal, el puerto de Lisboa, Ion Group (un proveedor de software comercial que desempeña un papel fundamental para la City de Londres), el servicio postal británico, el departamento de Finanzas de California, la compañía de defensa Thales, o las españolas Telepizza o Grup Covesa, un concesario de coches de Ford que opera en Cataluña.
En los últimos días, la policía de EE.UU anunció el arresto y acusación de un ciudadano ruso que, presuntamente, ha atacado a víctimas de todo el mundo sirviéndose de LockBit, el cual se cree que tiene vínculos con Rusia.
Ruslan Astamirov, de tan solo 20 años y originario de Chechenia, habría estado involucrado en operaciones de LockBit desde al menos agosto de 2020 hasta marzo de este año. En dicho intervalo habría ejecutado al menos media decena de ataques contra objetivos de EE.UU., Europa, Asia y África, tal y como recogía la denuncia penal que se hizo pública.
