La banda de ciberdelincuentes Trinity asegura haber robado 560 GB de la base de datos de la Agencia Tributaria de España (AEAT), mediante un ciberataque de ransomware. En caso de no recibir un rescate que se calcula en torno a los 40 millones de dólares, la información robada se haría pública a las 11 de la noche del 31 de diciembre.
La AEAT lo niega, manteniendo que no consigue localizar ningún indicio de intrusión, aunque la entidad fiscal española permanece en situación de alerta.
Cómo es el ransomware Trinity
El ransomware Trinity tiene las características propias de este tipo de malware o software delictivo. En los últimos meses de 2024 esta ciberbanda relativamente nueva ha atacado varias entidades del sector sanitario estadounidense. Tras descubrir una vulnerabilidad en el sistema atacado, extraen datos y chantajean a la entidad atacada. Trinity usa la técnica de la doble extorsión: primero roban los datos y luego los encriptan.
Los archivos cifrados suelen etiquetarse con la extensión de archivo «trinitylock«. Una vez completado el proceso de encriptación, se redacta una nota de rescate que se coloca en el escritorio o en de los directorios con archivos cifrados. Esta nota contiene instrucciones y una dirección de correo electrónico para contactar a los ciberdelincuentes. En este texto marcan un plazo de tiempo para pagar un rescate en criptomonedas, amenazando con publicar los datos robados.
La ciberbanda Trinity tiene dos sitios web: uno ofrece servicios de descifrado a las víctimas que han pagado un rescate y el otro sirve para exponer los datos robados con los que se extorsiona a las víctimas.
Mensaje de un ciberataque Trinity como el que puede haber recibido la Agencia Tributaria
Este es un mensaje que ha enviado Trinity en ocasiones previas en que ha llevado a cabo un ciberataque de ransomware como el que podría haber sufrido la Agencia Tributaria de España:
«¡Hemos descargado lo tuyo a nuestros servidores y tenemos cifradas todas tus bases de datos e información personal! Para contactarnos, descarga el navegador TOR aquí https://torproject.org/download/ y sigue este link. Sigue las instrucciones que verás en la página web. Si tienes problemas con TOR, mándanos un email a [email protected].
¡Aviso importante! Si no nos contactas en el plazo de tiempo indicado, empezaremos a publicar y vender tus datos en la Darknet en sitios de hackeo, ofreciendo tu información a tu competencia. Garantizado: si después de pagar el rescate no te damos una herramienta de descifrado o si destruimos tus datos, nadie volvería a pagarnos jamás. Tenemos que cuidar nuestra reputación. Para demostrar que existe la herramienta de descifrado, podemos hacer una prueba gratis con un archivo (no con la base de datos ni la copia de seguridad). No intentes desencriptar tus datos con un software que no sea el nuestro. Puedes quedarte sin tus datos para siempre.
No vayas a empresas de recuperación de datos, porque de hecho funcionan como intermediarios. El descifrado de tus archivos con la ayuda de terceros puede hacer subir el precio del rescate (ya que ellos suman su tarifa a la nuestra). Los únicos que te pueden dar las claves para el descifrado somos nosotros».
Archivado en:
