El grupo, que ya había atacado a organismos como DGI, ANEP y la Universidad de la República, confirmó haber construido su propio sistema de secuestro de datos
Imagen creada con Nano Banana 2.
Volvieron. Los ciberatacantes están golpeando de nuevo en organismos del Estado de Uruguay.
El grupo ciberdelincuente Dead Presidents, antes conocido como ExPresidents, se adjudicó un ataque contra el sitio web de la Junta Departamental de Florida, donde apareció un mensaje en el que aseguran haber encriptado el servidor y sus archivos mediante un ransomware.
Es el mismo grupo que atacó en el pasado a la DGI, ANEP, Udelar, INIA y múltiples veces a la web del Partido Nacional.
¿Qué es un ransomware? Es un tipo de software malicioso que “secuestra” una computadora o un sistema informático. Para lograrlo, primero los hackers tienen que entrar al sistema sin permiso.
La forma más común de hacerlo es mediante phishing, que suele ser un correo electrónico o mensaje falso que simula ser una entidad o una persona y así se engaña a un usuario para que haga clic en un enlace, descargue un archivo o entregue su contraseña.
Pero no es la única forma. También pueden entrar mediante ingeniería social, que consiste en manipular a una persona para que les dé acceso (por ejemplo, haciéndose pasar por soporte técnico), aprovechando fallas de seguridad en los sistemas, o probando muchas contraseñas automáticamente hasta acertar una (lo que se conoce como ataque de fuerza bruta).
En la web adulterada de la Junta Departamental de Florida, los atacantes sostienen que se trata de la “primera víctima” de su propio grupo de secuestro de datos y afirman haber accedido a información del sistema, entre ella datos de contribuyentes, recibos de sueldo de funcionarios y el código que hace funcionar los sitios web del organismo y aplicaciones y sistemas indispensables para el funcionamiento interno.
El mensaje plantea además la posibilidad de negociar un rescate para evitar la divulgación de la información. Los atacantes fijaron como fecha límite el 20 de marzo, momento a partir del cual advierten que los datos podrían ser liberados o vendidos si sus demandas no se cumplen.
En el texto que escribieron en el sitio web de la Junta Departamental, los atacantes dijeron que se habían ausentado por una razón fundamental.
"Estuvimos trabajando mucho en construir nuestro propio grupo de ransomware", indicaron.
Esto confirmó, según supo la empresa BCA LTD y confirmó El Observador, que crearon el primer proyecto de ransomware 100% uruguayo.
En un mensaje escrito el 16 de septiembre de 2024, un simple mensaje en un foro cibercriminal mostró el interés de los atacantes en crear algo así.
El grupo ExPresidents dio a entender que compró una herramienta para cometer ataques de ransomware llamado RobbinHood.
¿Quién lo vendió? Un afiliado de un grupo cibercriminal que creó ese software malicioso vendió el código fuente (la "receta" para reconstruir el ransomware).
"¡Gracias! ¡Parece que funciona!", escribieron el 16 de septiembre en un foro cibercriminal tras haber comprado el código fuente.
Este tipo de ataque es una familia de ransomware que se hizo conocida por atacar principalmente redes de gobiernos locales, sobre todo en Estados Unidos.
Lo novedoso de esto es que es el primer grupo uruguayo (al menos conocido públicamente) que creó su propio software de ransomware basado en ese código fuente.
Es decir, ahora no es un grupo de delincuentes que alquilan herramientas creadas por otros, sino de un grupo que tiene la capacidad técnica de desarrollar su propio sistema de ataque, adaptarlo y mejorarlo de manera más sencilla. En la práctica, eso les da mayor autonomía y flexibilidad para realizar ataques, y no requerir apoyo de otros atacantes internacionales.
A eso hay que sumarle que ExPresidents ya atacó en Uruguay a muchísimas organizaciones.
"Es un producto especialmente peligroso si lo pensamos en manos de actores locales que suelen tener menos escrúpulos y más hambre de lucro. Y esa es una mala combinación", dijo Mauro Eldritch, de BCA LTD a El Observador.
Si bien grupos internacionales tienen sus propios software de ransomware, fuentes ligadas al mundo de la ciberseguridad explicaron que el hecho de que exista un grupo uruguayo dueño de su propio sistema de ransomware es peligrosísimo.
Fue tan conocido este tipo de ciberdelito que en 2019 un ciberataque afectó varios servicios del gobierno la ciudad de Baltimore, una ciudad de 500 mil habitantes al noreste de Estados Unidos.
Los correos electrónicos del gobierno dejaron de funcionar y tampoco se podían hacer pagos de tributos en línea (parecido a lo que sufrió la Intendencia de Paysandú en 2024). En el caso de Baltimore no se podían hacer pagos de facturas de agua, impuestos prediales y multas de tráfico.
Los ciberatacantes pidieron 13 bitcoin de recompensa (unos 76 mil dólares de la época) para reestablecer los servicios. Tal como lo decidió el intendente de Paysandú en su caso, el alcalde Bernard Young se negó a pagar. ¿Y qué pasó?
El ataque informático obligó a la ciudad a reconstruir y restaurar sus servidores, un proceso que llevó varias semanas de trabajo técnico. La recuperación total de los sistemas y de la operativa municipal demoró varios meses.
En las primeras tres semanas posteriores al incidente, la administración destinó US$ 4,2 millones a tareas de recuperación. De acuerdo con estimaciones de los responsables del presupuesto municipal, el costo total del proceso podría superar los US$ 18 millones, informó el diario local The Baltimore Sun.
Tras el episodio, la ciudad también recibió cuestionamientos por mantener una infraestructura tecnológica considerada insostenible y por no contar con un plan preparado para enfrentar ciberataques o emergencias de este tipo.
En Paysandú, con otro tipo de ransomware se afectó el sitio web, el correo electrónico, la liquidación de sueldos, el sistema tributario, los expedientes electrónicos y otros trámites administrativos. El grupo internacional que golpeó, llamado Alpha, pidió US$ 650 mil de rescate y el intendente dijo públicamente que montar todo de nuevo les costaría lo mismo. Pero, según supo El Observador, les costó mucho más.