Tras el ciberataque a la Lotería Nacional, Avaddon, el grupo de ransomware as a service (ras) detrás de este hecho amenazó con filtrar documentos de la empresa si no se concretaba el pago del rescate el 7 de junio. El plazo llegó y salieron a la red 3GB de información entre los que destacan reportes financieros, respaldos de correos electrónicos de bandejas de Outlook, el presupuesto de la dependencia para 2021, entre otros. 

Unocero tuvo acceso al listado de la descarga de estos archivos, en los que se pueden ver nombres de archivos como: “Contratos y pedidos 2009.2021”, auditorías, contratos, documentos referentes a trámites con la Secretaría de Hacienda (SHCP) además de archivos con extensión .msg, que corresponden a respaldos de bandejas de entrada de Outlook de funcionarios de la Lotería Nacional. 

Hiram Alejandro, director y cofundador de la empresa de ciberseguridad Seekcurity, comentó en entrevista que, por la manera en la que opera el grupo Avaddon, responsable del software de ransomware de este ciberataque, estos documentos serán solo una forma de presión para que la Lotería Nacional pague el rescate que le solicitaron. 

“La filtración de estos documentos se lee más que nada como presión para que la Lotería Nacional realice el pago y de la información que se colocó yo creo que no es la información más importante que tienen; tal vez ellos ya revisaron más a detalle y seguirán publicando más e incluso los datos más críticos son los que pueden llegar a vender al mejor postor si no pagan”, dijo en entrevista. 

En el listado de documentos se incluyen también referencias a casos de acoso sexual en la empresa, desde 2019, como unos nombrados como “código de ética o código de conducta”. 

Aunque aún no se conoce el monto que los ciberatacantes están pidiendo a la dependencia, estudios de firmas de informática forense como Sophos, detallan que las empresas en México pagan en promedio 170,000 dólares por salir de un ciberataque como este, el cual el analista determinó que fue causado a través de un correo de spam y tras un proceso de análisis de los huecos de seguridad de la empresa, para poderla vulnerar. 

Tras esta primera liberación de datos, Avaddon ahora dio 192 horas de nuevo plazo para que se realice el pago de ransomware, de lo contrario tomarían acciones adicionales. 

¿Cómo Avaddon llegó a la Lotería Nacional? 

Por contrato; esa es la respuesta corta a esta pregunta. 

Avaddon es un grupo de RAS, de origen ruso, cuya labor es desarrollar software y técnicas generales de ciberataques para vulnerar sistemas informáticos alrededor del mundo. Ellos funcionan como una empresa y cuentan con diversos clientes que los contratan para usar su software en contra de un blanco determinado, en este caso la Lotería Nacional. 

Alejandro explica que este tipo de grupos solo infecta los sistemas que previamente ya comprobó que tienen huecos de ciberseguridad, y cuyas finanzas o importancia es de tal grado que pueden pagar un rescate o se verían presionados para hacerlo. 

Se sabe que una vez que Avaddon decide seguir adelante con una contratación, usa distintas formas de vulnerar los sistemas; una de ellas puede ser a través de ataques de phishing o spam con malware que active ataques posteriores o bien ingresando a sus redes y haciendo a sus equipos parte de una red de bots. 

A la fecha cuentan con alrededor de 1,000,000 de equipos en su red, en la que se apoyan para realizar sus ciberataques. 

ESET, otra firma de ciberseguridad confirmó que este tipo de grupos van al alza en América Latina, pues es la región con los controles de ciberseguridad y monitoreo de redes más laxo en el mundo y en donde la vulneración de infraestructuras por medio de un ransomware no ha escalado como algo de importancia de seguridad nacional. 

Ya sea hecho a través de un contratista como Avaddon o de otra forma, Alejandro asegura que los ataques con el que sufrió la Lotería Nacional seguirán sucediendo a lo largo de 2021 en México y uno de los sectores con más riesgo es el financiero. 

Reportes de Banco de México, de los que Unocero tiene una copia, registraron que en 2019 se detectaron ocho ciberataques a bancos y cajeros electrónicos en el país, mientras que en 2020 la cifra es de cuatro ataques de ransomware a este sector, y ahora en 2021 van tres ataques de ransomware, tan solo en el mes de enero. 

Para el analista de Seekcurity esta tendencia seguirá al alza a menos que se logre el marco regulatorio necesario para enfrentar estas fallas, además de la cooperación internacional necesaria para combatirla. 

“La infraestructura de ciberseguridad en México y América Latina es muy pobre, en Estados Unidos y Europa pasa pero mucho menos, por eso creo que esto es cada vez más común en entidades latinoamericanas” dijo el analista.