La Intendencia de Paysandú fue víctima del peor ataque que un organismo público sufrió en Uruguay: fue infectado por un ransomware, por el que le secuestraron la información e inhabilitaron casi la totalidad de servicios que brinda la comuna.
Los atacantes, que pidieron US$ 650 mil de recompensa en bitcoin, son integrantes de Alpha, un grupo de ciberdelincuentes que desde la Agencia del Gobierno Electrónico y Sociedad de la Información (Agesic) aseguraron que se formó a fines de 2023.
¿Por qué atacaron a Paysandú y quién está atrás de este grupo?
Heber Paguas, presidente de Agesic, dijo esta semana en conferencia de prensa junto al intendente Nicolás Olivera que este ataque pudo haber sido a cualquier otro organismo.
"Lamentablemente es algo que pasa cada vez más. Puede ser cualquier desde un kiosco a la oficina más grande del mundo. Actualmente la ciberdelincuencia tiene más poderío que el tráfico de drogas y de armas juntas. Es una práctica que ha ido creciendo cada vez más, sobre todo porque el mundo es cada vez más digital. Hay empresas que se dedican a generar ataques los siete días de la semana, incluso de manera automática. Pudo haber sido cualquiera", explicó.
Además, aseguró que en el mundo hay "miles de millones de incidentes al año". "La probabilidad es alta en cualquier caso", añadió.
Poco se sabe sobre su identidad. Lo que sí se sabe es que operan desde 2016 mediante con otros nombres. Uno de ellos fue MyData, y están vinculados a otros grupos como Netwalker y Cerber, según informó a El Observador Birmingham Cyber Arms, empresa dedicada a monitorear el mundo del cibercrimen.
En su caso no tiene programa de afiliados –socios que comparten las ganancias con los creadores de los programas maliciosos–. Se trata de una práctica que se ha transformado n habitual en el mundo de los actores de amenazas que atacan con ransomware, por la que Alpha no ha optado.
Es práctica habitual de este actor de amenazas en no publicar la información en internet sobre lo que piden de rescate como sucede con otros grupos que extorsionan poniendo el valor de la información (como le pasó a Guyer & Regules). En general, piden ponerse en contacto directo con ellos y solo piden bitcoin como moneda de cambio.
¿A quiénes atacaron?
En 2024 atacaron a organismos e instituciones de Estados Unidos, Francia, Italia, Reino Unido, Israel, Canadá y, ahora, Uruguay. Solo de enero a abril hubo 11 organismos afectados.
Entre sus víctimas estuvieron First Texas Alliance Corp, una empresa que brinda servicios financieros en Estados Unidos.
También: Geodis, una empresa de logística y transporte global con sede en Francia; Consorzio Innova, una organización italiana que se enfoca en la innovación y desarrollo de proyectos tecnológicos y científicos; BM Catalysts, empresa se especializa en la fabricación de insumos para el mercado automotriz; Eland Energy, una compañía estadounidense que opera en el sector energético, enfocándose en la exploración y producción de petróleo y gas.
Desde Birmingham Cyber Arms aseguraron que algunas de las víctimas pagaron el dinero de rescate y otras no.
Este viernes el portal de Alpha estuvo desconectado lo que da la pauta que pueden estar realizando una actulización para publicar información sobre el ataque a Paysandú, o algún otro ataque, informaron desde Birmingham Cyber Arms.
El primer ataque
Una captura a la que accedió El Observador muestra Alphalocker, un programa malicioso creado cuando este grupo daba sus primeros en pasos en el mundo del cibercrimen en 2016.
Básicamente era un programa que "encriptaba todos los discos conectados a la PC" incluso cuando la computadora estuviera apagada.
La Intendencia de Paysandú fue víctima del peor ataque que un organismo público sufrió en Uruguay fue infectado por un ransomware, por el que le secuestraron la información e inhabilitaron casi la.jpg
Captura del anuncio del programa malicioso que vendía Alpha cuando empezaba a actuar en el mundo del cibercrimen.
Birmingham Cyber Arms