El pasado 27 de abril, el grupo de ciberatacantes de origen ruso conocido como Babuk publicó en su página web un sorprendente anuncio:

“Incluso una institución como el Departamento de Policía de [Washington] DC puede ser amenazada. Hemos descargado información de sus redes internas y les aconsejamos que se pongan en contacto con nosotros lo antes posible para evitar la filtración. Si no recibimos respuesta en 3 días, empezaremos a contactar con bandas para purgar a los informantes. Seguiremos atacando al sector público en EE.UU, el FBI y la CSA. Encontramos un 0 day antes que ustedes. Ataques aún mayores les esperan pronto”

Con este mensaje, informaban de que extrajeron más de 250 GB de información del Departamento de Policía de la capital de EEUU y como prueba, colgó ejemplos de informes policiales, fichas criminales y detalles sobre pruebas. Esto ya suponía una situación peligrosa porque podía poner en alerta a delincuentes del crimen organizado, como grupos de narcotraficantes o bandas de atracadores. Aunque quizá lo que llamó más la atención a algunos medios como el Washington Post es que también reflejaron que la policía estaba investigando potenciales amenazas contra el presidente Joe Biden en su discurso inaugural en el Congreso: es una cuestión sensible para los estadounidenses y sus fuerzas de Seguridad tras el Asalto de manifestantes al Capitolio.

Muestra de datos policiales publicados por Babuk en su web. Fuente: Muy Seguridad

Muestra de datos policiales publicados por Babuk en su web. Fuente: Muy Seguridad

Negociaciones rotas_

Por si fuera poco, la situación empeoró todavía más días después: tras romperse las negociaciones con la policía, el grupo colgó más información confidencial, pero esta vez fueron más allá: bajo el nombre del archivo “PD last part (all data).” Dieron a entender que finalmente colgaron toda información del departamento.

Aunque este punto no se confirmó, Forbes recoge el testimonio de algunos analistas de ciberseguridad que afirman que, aunque los grupos como Babuk casi nunca mienten sobre la legitimidad de los archivos que cuelgan, sí pueden llegar a confundir sobre su cantidad y tamaño: explican que eso les supone una táctica para ejercer más presión sobre los objetivos a los que están intentando extorsionar.

En cualquier caso, sí se confirmó que los últimos archivos publicado incluían también información personal de los propios agentes de policía, como teléfonos y direcciones. Un portavoz de la policía admitió sobre ello que es una situación muy complicada que pone a sus más de 3.600 agentes en riesgo y adelantó que notificarían individualmente del ciberataque a aquellos cuya información personal fue directamente expuesta.

Respuesta rápida y completa_

Los analistas recuerdan que Babuk opera como un grupo que sigue un modelo RaaS (Ramsonware as a Service). Con ello, han logrado atacar con éxito a varias grandes organizaciones y al menos una de ellas les ha pagado 85.000$ para recuperar su información.

Se trata del mismo enfoque que el grupo de Sodinokibi, que ha extorsionado recientemente a un proveedor de Apple, tal y como abordamos en el blog. Pero como comentamos entonces, antes de llegar a este tipo de situación comprometida donde la dirección de las organizaciones tiene que tomar la difícil decisión de ceder al chantaje de unos delincuentes, es imprescindible reducir al máximo las posibilidades de estas amenazas.

Además de contar con backups protegidos, deben contar con una solución completa que integre una protección en el Endpoint con capacidades de prevención avanzadas (EPDR) con herramientas de Threat Hunting que proporcionen un detección rápida y respuesta lo más rápida posible, como así lo hace Cytomic Orion. La combinación de todas esas funcionalidades es Cytomic Covalent. Con ella, los SOC de organizaciones privadas y públicas -como los departamentos de policía y otras AAP-  podrán incrementar su eficiencia y escalabilidad al beneficiarse de una arquitectura integrada EPP y EDR junto con un enfoque Zero Trust y herramientas de Threat Hunting muy potentes.