Claves sobre el ciberataque a la Agencia Tributaria de España: quién está detrás y qué datos se han filtrado

La compañía de ciberseguridad HackManac ha publicado en la red social X (antes Twitter) que el grupo de hackers Trinity asegura haber podido acceder a la base de datos de la Agencia Tributaria (AEAT, por sus siglas).

Según afirma la compañía en la plataforma de Elon Musk, los delincuentes reclaman 38 millones de dólares y amenazan con publicar hasta 560GB de datos el próximo 31 de diciembre si no reciben la cantidad solicitada. Sin embargo, aún no existe ningún dato más sobre el supuesto ciberataque, ni los hackers han publicado información acerca del contenido de la base de datos filtrada, ni sobre qué personas se podrían ver afectadas.

Por su parte, la Agencia Tributaria ha afirmado que está "evaluando la situación" y que, hasta el momento, no han identificado ningún inconveniente. "La situación permanece bajo vigilancia", han añadido desde el organismo a varios medios.

Qué es Trinity

Trinity es una organización de delincuentes que opera con un ransomware para robar información, adopta tácticas de doble extorsión para atacar infraestructuras críticas y amenaza con publicar datos sensibles si no se paga el rescate.

El centro de seguridad estadounidense HC3 explica en un documento público que Trinity es un actor de amenazas "relativamente nuevo" que emplea el algoritmo de cifrado ChaCha20, teniendo en cuenta que los archivos cifrados se etiquetan con la extensión ".trinitylock". Asimismo, es importante mencionar que "opera un sitio de asistencia a las víctimas para la descifración y un sitio de filtraciones que muestra a sus víctimas".

Por otro lado, HC3 revela que, "hasta la fecha, se han identificado un total de siete víctimas del ransomware Trinity. De estas, dos víctimas han sido identificadas como proveedores de atención médica, uno con sede en el Reino Unido, y el otro un proveedor de servicios de gastroenterología con sede en los Estados Unidos, donde Trinity afirma tener acceso a 330 GB de datos de la organización".

Cómo opera el ransomware Trinity

Trinity se infiltra en los sistemas a través de varios vectores de ataque, incluidos correos electrónicos de phishing, sitios web maliciosos y explotación de vulnerabilidades de software.

Tras la instalación de este software malicioso, el ransomware Trinity empieza a recopilar detalles del sistema —como la cantidad de procesadores, los subprocesos disponibles y las unidades conectadas— para optimizar sus operaciones de cifrado multiproceso. Y, posteriormente, "Trinity intenta aumentar sus "privilegios haciéndose pasar por el token de un proceso legítimo" para evadir los protocolos y las protecciones de seguridad. Además, el ransomware realiza un "escaneo de red y un movimiento lateral" para propagarse y llevar a cabo ataques en varios sistemas de una red específica.

Una vez dentro del sistema, el ransomware Trinity emplea una estrategia de doble extorsión para atacar a sus víctimas, de esta manera, extrae datos y cifra los archivos utilizando un algoritmo de cifrado sólido, dejándolos inutilizables.

Zircon - This is a contributing Drupal Theme
Design by WeebPal.