La Consejería Jurídica del Ejecutivo Federal sufrió un hackeo a manos del grupo ruso RansomHub que exige un rescate millonario.

La amenaza de hacer pública la información de Consejería Jurídica pone en riesgo la estabilidad de la Presidencia por datos financieros y personales.

Cortesía/Los Ángeles Press

La Consejería Jurídica del Ejecutivo Federal (CJEF) fue víctima de un ataque cibernético perpetrado por el grupo ruso RansomHub. Los hackers sustrajeron 313 gigabytes de información clasificada y amenazaron con hacerla pública el próximo lunes 25 de noviembre de 2024 si el gobierno liderado por Claudia Sheinbaum no paga el rescate exigido. En respuesta, Sheinbaum afirmó que su equipo de trabajo le dará hoy un informe más preciso de la amenaza.

Según Víctor Ruiz, CEO de la firma de ciberseguridad Silikn, los datos robados incluyen contratos gubernamentales, información administrativa, correos electrónicos, datos financieros y datos personales de los funcionarios. “Es un ataque extremadamente delicado, ya que la CJEF es responsable del marco legal de la Presidencia, y la información sustraída podría tener graves implicaciones políticas y de seguridad nacional”, destacó.  

Ruiz también advirtió que esta vulneración no solo compromete los servidores de la CJEF, sino que podría ser la puerta de entrada para futuros ataques a otras dependencias gubernamentales.  

Amenaza inminente 

En su sitio web, RansomHub ha colocado un contador que detalla el tiempo restante para que el gobierno realice el pago. El plazo vence en la madrugada del 25 de noviembre. Si no se cumple con sus demandas, los hackers han prometido liberar la información robada en la Dark Web, siguiendo un patrón de acciones que les ha ganado notoriedad.  

El grupo es conocido por utilizar el modelo de doble extorsión, que consiste en exfiltrar datos y cifrar los sistemas de las víctimas para presionarlas a cumplir con sus demandas. A las empresas atacadas se les insta a contactar a los operadores a través de una URL única en la red .onion. Aquellas compañías que se niegan a pagar el rescate ven su información publicada en un sitio de filtraciones de datos durante un periodo que puede variar entre tres y 90 días.  

El acceso inicial a los entornos de las víctimas se logra explotando vulnerabilidades conocidas en diversos sistemas, como Apache ActiveMQ (CVE-2023-46604), Atlassian Confluence Data Center y Server (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997) y Fortinet FortiClientEMS (CVE-2023-48788), entre otros.  

Posteriormente, los afiliados del grupo realizan labores de reconocimiento y análisis de redes utilizando herramientas como AngryIPScanner, Nmap y métodos de “living-off-the-land” (LotL), que aprovechan software legítimo ya presente en los sistemas. Los ataques de RansomHub también incluyen la desactivación de software antivirus mediante herramientas personalizadas diseñadas para evadir la detección.  

Según un aviso emitido por el gobierno de los Estados Unidos, “tras obtener acceso inicial, los afiliados de RansomHub crearon cuentas de usuario para mantener persistencia, reactivaron cuentas deshabilitadas y utilizaron Mimikatz en sistemas Windows para recolectar credenciales [T1003] y escalar privilegios hasta obtener acceso como SYSTEM”.  

Origen de RansomHub

RansomHub, que surgió a inicios de 2024, es un grupo vinculado a cibercriminales de Rusia con presencia internacional. Muchos de sus miembros son antiguos integrantes de BlackCat, otra organización desmantelada parcialmente por el FBI. Su estrategia se centra en ataques rápidos y altamente efectivos, dejando a sus víctimas con escaso margen de negociación.  

El gobierno mexicano en voz de Sheinbaum dijo que espera un informe sobre el ataque para determinar las medidas que tomará para mitigar este incidente. Por su parte, expertos en ciberseguridad recomiendan un refuerzo inmediato de las barreras digitales en las instituciones gubernamentales.