El caso del robo de datos en La Agencia Tributaria: ¿real o inventado?
Para el ejército me declararon inutilísimo. Si hubiera una guerra yo sólo serviría de rehén. Woody Allen como Alvi Singer en la película Annie Hall
"Recuerdo a los profesores de nuestra escuela pública. Teníamos un dicho: Los que no saben enseñan, y los que saben enseñar dan clases de gimnasia. Y, claro está, los que no sabían nada de nada, venían a enseñar a nuestra escuela" – Woody Allen como Alvi Singer en la película Annie Hall
Trinity: ¿Qué es?
Trinity es un malware recientemente identificado que ha afectado a diversas organizaciones, principalmente en los sectores públicos y de salud. A menudo se confunde con un ransomware, Trinity es en realidad un malware que se infiltra en los sistemas para extraer datos sensibles y comprometer la seguridad de las infraestructuras informáticas.
Características clave del malware Trinity:
Robo de datos: Trinity es conocido por su capacidad de exfiltrar grandes volúmenes de datos de las redes de las víctimas antes de realizar cualquier otra acción destructiva. Esto permite a los atacantes utilizar los datos robados para diversas formas de extorsión o venta en mercados clandestinos.
Persistencia avanzada: Trinity emplea técnicas avanzadas de persistencia en los sistemas infectados, lo que le permite mantenerse oculto durante largos periodos de tiempo sin ser detectado por las herramientas de seguridad convencionales. Esto se logra mediante la modificación de procesos legítimos y la inyección de código malicioso en el sistema operativo.
Técnicas de acceso inicial: Los vectores de ataque más comunes utilizados por Trinity incluyen correos electrónicos de phishing, sitios web comprometidos, y la explotación de vulnerabilidades en software no actualizado. Una vez dentro de la red, el malware se mueve lateralmente para expandir su control.
Elevación de privilegios: Trinity es capaz de elevar sus privilegios dentro de la red comprometida mediante el uso de exploits que le permiten ejecutar comandos con privilegios de administrador, lo que facilita su expansión y el control de sistemas críticos.
Cifrado de archivos opcional: Aunque no es estrictamente un ransomware, en algunas versiones del malware Trinity se ha observado la capacidad de cifrar archivos para dificultar el acceso de las víctimas a sus propios datos. Sin embargo, esto no es su método principal de ataque.
Técnicas de evasión: Trinity está diseñado para evadir las detecciones de soluciones antivirus y de detección de intrusiones (IDS) mediante el uso de técnicas como offensive obfuscation y el uso de redes Tor para la comunicación con los servidores de comando y control (C2).
Comparación con otros malware:
- Emotet: Al igual que Trinity, Emotet es conocido por su persistencia y su capacidad para extraer datos de sistemas comprometidos. Sin embargo, Emotet se enfoca más en actuar como una puerta de entrada para otros tipos de malware, mientras que Trinity se enfoca principalmente en el robo de datos.
- TrickBot: TrickBot también se utiliza para obtener información sensible de las redes infectadas, pero suele estar más orientado a la banca en línea y las credenciales de acceso. Trinity, por otro lado, es más generalista y afecta a diversas industrias.
- Ryuk: Aunque ambos malware pueden cifrar archivos, Ryuk es puramente un ransomware, mientras que Trinity emplea el cifrado solo como una función secundaria, centrándose más en la exfiltración y venta de datos robados.
El malware Trinity representa una evolución peligrosa en el panorama de las amenazas cibernéticas debido a su enfoque en la exfiltración de datos y su capacidad para evadir las soluciones de seguridad tradicionales. Las organizaciones deben tomar medidas proactivas para asegurar sus redes y estar al tanto de las nuevas técnicas empleadas por los actores de amenazas.
Agencia Tributaria: la última víctima
![[Img #7166]](https://elnuevodigitalmurcia.es/upload/images/12_2024/1429_aqui-1.jpg)
En las últimas horas hemos sabido del ataque que la semana pasada a la Agencia Tributaria, parece no ser un ataque directo a la Agencia Tributaria, sino a un proveedor de servicios externo con permisos de acceso.
Se reportaba en el chat de Telegram de Data Leaks Monitor la siguiente entrada.
El volumen de datos capturados, según el grupo, de datos personales y probablemente económicos: 560Gb.
Hemos podido acceder a través de la red de Tor al enlace de la darkweb de Trinity y hemos encontrado un enlace de descarga de unas 50Mb para descargar, sin éxito, por lo que no podemos verificar si efectivamente la filtración se ha producido y ha sido como han dicho.
![[Img #7167]](https://elnuevodigitalmurcia.es/upload/images/12_2024/7066_aqui-2.jpg)
![[Img #7168]](https://elnuevodigitalmurcia.es/upload/images/12_2024/8041_aqui-3.jpg)
¿Ha sido realmente hackeada?, ¿no?
El daño reputacional por lo que vamos conociendo ya está ya hecho. Si fuese una empresa privada, probablemente la multa haría tambalear los cimientos de la empresa.
Pero es la Agencia Tributaria. No va a pasar nada. La incapacidad manifiesta generalizada de la Administración Pública para proteger nuestros datos es incalificable y nos llama a tomar medidas para mitigar nuevas filtraciones. Volverá a pasar.
Si ellos no actúan, deberemos conocer qué podemos hacer para mitigar los efectos nosotros. Se filtrarán datos, pero al menos que se filtren los mínimos posibles o al menos tengamos resortes de defensa.
Los cybercriminales saben ya todos nuestros datos: nombre, domicilio, dni, teléfono, estructura familiar, nombres de mis hijos, mi esposa. Tienen toda una batería de datos personales para ataques de diferente tipo. Estemos atentos.
