La Lotería Nacional confirmó a través de una comunicado que fue víctima de una sustracción de información por parte de delincuentes que operan a nivel internacional.

Ataque a Lotería Nacional sería el segundo caso de ransomware en el gobierno de AMLO

La Lotería Nacional se unió a Petróleos Mexicanos (Pemex) como una de las instituciones del gobierno del presidente Andrés Manuel López Obrador que han sido víctimas de ataques de ransomware, un tipo de ciberataque mediante el cual se secuestra la información de la víctima y se exige un rescate por ella, además de que también se puede cometer una extorsión con la amenaza de hacer públicos los datos.

La noche del jueves 27 de mayo, el investigador en ciberseguridad de la firma Seekurity, Hiram Camarillo, detectó en un foro en la red oscura (deep web) un mensaje en el que los operadores del ransomware Avaddon le dan un plazo de 10 días a la Lotería Nacional para “cooperar con ellos” y así poder recuperar la información secuestrada.

«Contamos con datos como contratos y convenios de 2009 a 2021, documentos legales, correspondencia, finanzas, datos notariales, outsourcing, y mucho más», dice el post publicado por el grupo Avaddon, que advierte que la institución no está cooperando con ellos, por lo que le da 240 horas o 10 días para hacerlo o de lo contrario expondrán “documentos valiosos de la compañía”. Al momento de esta publicación, a la Lotería Nacional le quedaban 6 días y unas horas para que se venciera el plazo.

La Lotería Nacional, que es la dependencia gubernamental encargada de llevar a cabo juegos y sorteos legales en México, no ha negado ni confirmado el ataque en contra de su infraestructura. Un día después de que los atacantes hicieron su publicación en la red oscura, la dependencia publicó un comunicado en el que afirma estar implementando “un plan de actualización de los sistemas para aumentar los mecanismos de control informático”. 

“De acuerdo con el fortalecimiento de los mecanismos de control y como parte del proceso de actualización de los sistemas informáticos de la institución, se ha implementado un plan de renovación y depuración, lo que ha generado intermitencia en los servicios de las áreas administrativas y operativas de la Lotería Nacional”, asentó la Lotería y añadió que su soporte tecnológico para los sorteos y concursos que realiza se encontraba operando normalmente.

Los operadores de Avaddon han hecho públicos 17 documentos que presuntamente extrajeron de los sistemas de Pronósticos Deportivos, dependencia gubernamental que se fusionó en 2019 con la Lotería Nacional. Entre estos documentos figura la notificación y el relato de un caso de acoso sexual dentro de la Dirección de Marcas Tris y Chispazo fechada en octubre de 2019; así como la designación de un nombramiento dentro de la subdirección general de asuntos jurídicos del fechada en enero de 2021. Según los operadores del ransomware, los documentos extraídos corresponden a un periodo que va de 2012 a 2021.

Los atacantes también amenazaron con ejecutar un ataque a la disponibilidad (DoS) en contra de la Lotería Nacional, por lo que, de acuerdo con Camarillo, lo más probable es que la institución haya bloqueado los accesos a su infraestructura desde el extranjero. Si una persona en México se conecta a internet a través de una Red Virtual Privada (VPN) no podrá acceder a la página de la Lotería Nacional, lo que confirma que el sitio mantiene bloqueado el acceso desde otros países.

Aunque los operadores de Avaddon no mencionan en su aviso del ataque en contra de la Lotería Nacional el monto del rescate por la información extraída, el Centro Australiano de Ciberseguridad, que ha realizado un minucioso análisis de este malware, aseguró que la demanda promedio de los atacantes es de 0.73 bitcoins, es decir alrededor de 26,000 dólares o medio millón de pesos mexicanos al tipo de cambio del 31 de mayo de 2021.

“Avaddon es un Ransomware as a Service, es decir que el grupo criminal nuclear desarrolla la herramienta para cifrar la información pero lo más probable es que ellos no sean quienes ataquen a las compañías y organizaciones sino que se lo entregan a sus afiliados y son ellos quienes se dedican a entrar a la empresa y a distribuir el ransomare”, dijo Camarillo en entrevista.

Ransomware como servicio

El grupo que opera Avaddon funciona como una empresa que ofrece ataques de ransomware como servicio. Apareció por primera vez en febrero de 2019 y desde entonces ha evolucionado e innovado de forma acelerada su modelo de operación. El grupo que controla este ransomware cuenta con una red de afiliados o socios a los que ofrece sus servicios en la red oscura.   

En febrero de 2021, el investigador español José Yuste publicó una herramienta para poder recuperar o desencriptar la información secuestrada a través de Avaddon. Rápidamente, los operadores del ransomware modificaron el código malicioso para que la herramienta creada por Yuste sea incapaz de recuperar la información.

Avaddon ha sido utilizado para atacar al menos a 170 compañías e instituciones públicas de 19 países, incluido México, según el Informe de inteligencia sobre bandas de ransomware en la Darkweb de Darktrace. Algunas de las operaciones de la aseguradora Axa en Tailandia, Malasia y Hong Kong también se vieron afectadas por un ataque con este tipo de ransomware. Todos los sectores, desde la manufactura hasta la energía, pasando por la salud, el gobierno y los servicios financieros han sido atacados con este tipo de ransomware. 

De acuerdo con los expertos, lo más probable es que el vector de entrada de este ransomware en los equipos de la Lotería Nacional fue un correo electrónico. Un trabajador de la dependencia abrió un archivo que le fue enviado por correo y que contenía las primeras piezas de Avaddon que le permitieron a sus operadores acceder a la infraestructura de la institución para comenzar a extraer información de sus sistemas.

Según Camarillo, la extracción de información se realiza de forma paulatina, con el objetivo de no despertar las alarmas de los equipos y herramientas de seguridad de sus víctimas. Por esta razón, el investigador estima que los operadores pudieron haber entrado a los sistemas de la Lotería Nacional al menos 10 días antes de que hicieran público el ataque.

La industria de la ciberseguridad considera a los operadores de Avaddon como uno de los grupos más agresivos en el entorno de los cibercriminales, no sólo por la cantidad de sus víctimas sino porque busca cumplir con la extorsión a través del secuestro, la amenaza de divulgación de la información y de ataques a la disponibilidad de los servicios de sus víctimas. 

De acuerdo con Camarillo, Avaddon cuenta con una red de bots (botnet) de 1 millón de equipos infectados de los que se sirve para realizar estos ataques de denegación de servicio que dejan fuera de servicio la red del atacado.

Segundo ransomware en el gobierno de AMLO

No es la primera vez que una dependencia del gobierno del presidente Andrés Manuel López Obrador sufre un ataque de ransomware. En noviembre de 2019, Petróleos Mexicanos fue víctima de un ciberataque con el ransomware Doppel Paymer que, según la información de la propia petrolera, afectó a 5% de sus equipos. El gobierno federal ha reservado la información vinculada a este ataque por cinco años.

En febrero de 2020, la Secretaría de Economía difundió un comunicado en el que aseguró haber sido víctima de un ataque cibernético en contra de algunos de sus servidores. De acuerdo con la dependencia, “la información sensible de la Secretaría y de sus usuarios no se vio comprometida”. No obstante, la operación de la dependencia se vio interrumpida y, según su propio comunicado, la capacidad operativa fue restablecida de forma segura, paulatina y controlada. Aunque se presume que este caso también se trató de un ataque de ransomware, no se ha podido confirmar esta versión.

Para Andrés Velázquez, fundador y director de Mattica, empresa dedicada a la ciberseguridad estratégica, la respuesta a incidentes de TI e investigaciones digitales, dado que el ataque con Avaddon requiere que alguien dentro de la dependencia haga clic en un enlace enviado por correo electrónico, esto indica una falta de concientización en materia de ciberseguridad por parte de la Lotería Nacional, lo que también queda en evidencia con la estrategia de comunicación de la dependencia.

“En un país como México en donde no hay una obligación por parte de los afectados de dar a conocer que sufrieron un ataque, la primera reacción que normalmente toman las personas de comunicación es negarlo, sin tomar en cuenta las consecuencias que esto pueda tener. Nadie está exento de sufrir un ransomware, pero le agrega suspicacia cuando empiezan a negar la situación y a reservar el acceso a la información como fue en el caso de Pemex ”, dijo Velázquez.