El estado federal austríaco de Carintia ha sido golpeado por la pandilla de BlackCat, también conocida como ALPHV, que exigió al gobierno un estimado de $5 millones de dólares para desbloquear los sistemas informáticos comprometidos.
El ataque ocurrió el día martes y ha causado graves interrupciones operativas de los servicios gubernamentales, ya que miles de estaciones de trabajos, supuestamente, han sido comprometidas por el actor de amenaza. El sitio web y el servicio de correo electrónico de Carintia están actualmente fuera de línea y la administración no puede emitir nuevos pasaportes o multas de tráfico, debido al incidente.
Además, el ataque informático también interrumpió el procesamiento de las pruebas de COVID-19 y el rastreo de contactos realizado a través de las oficinas administrativas de la región.
Los miembros de BlackCat ofrecieron proporcionar una herramienta de descifrado por la cantidad de $5 millones de dólares. Sin embargo, un portavoz del estado, Gerd Kurath, dijo a Euractiv, que las demandas del atacante no se cumplirán.
El representante de prensa dijo además que actualmente no hay evidencia de que BlackCat realmente haya logrado robar datos de los sistemas del estado y que el plan es restaurar las máquinas a partir de las copias de seguridad disponibles.
Kurath comento que de los 3.000 sistemas afectados, se espera que los primeros vuelvan a estar disponibles el día de hoy.
Al momento de realizar esta publicación, el sitio de filtración de BlackCat, donde los miembros publican archivos robados a las víctimas que no pagaron un rescate, no muestra ningún dato de Carintia. Esto puede indicar el ataque contra el estado de Carintia es aun muy reciente o que las fases de negociación aun no han terminado del todo.
Imagen: CronUp Ciberseguridad
La banda BlackCat/ALPHV ransomware apareció por primera vez en noviembre de 2021, como una de las operaciones de ransomware más sofisticadas. Son un cambio de marca de la banda DarkSide/BlackMatter, responsables del ataque al oleoducto Colonial durante el año pasado.
A principios de año, los afiliados de BlackCat atacaron a entidades y marcas de alto perfil como el grupo de moda Moncler y el proveedor de servicios de manejo de carga de la aerolínea Swissport. A finales del primer trimestre del año, el FBI publicó un aviso advirtiendo que BlackCat había violado al menos 60 entidades en todo el mundo, asumiendo el estado que se anticipaba alcanzar como uno de los proyectos de ransomware más activos y peligrosos que existen.
El ataque al estado de Carintia y las grandes cantidades monetarias del rescate muestran que el actor de la amenaza se centra en organizaciones que pueden pagar mucho capital, para descifrar sus sistemas y evitar pérdidas financieras adicionales resultantes de la falta de disponibilidad de los servicios de gran necesidad.
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
